Contrôle des accès

Présentation

BigQuery ML utilise la gestion de l'authentification et des accès (IAM) pour gérer l'accès aux ressources de modèle. Pour accorder l'accès à une ressource de modèle, attribuez un ou plusieurs rôles IAM BigQuery à un utilisateur, un groupe ou un compte de service. Les autorisations de BigQuery ML sont intégrées aux rôles IAM BigQuery.

Cette page fournit des détails sur les autorisations et les rôles Cloud IAM (Cloud Identity and Access Management) de BigQuery ML. Pour en savoir plus, consultez la page Contrôle des accès dans BigQuery.

Autorisations BigQuery ML

Le tableau suivant décrit les autorisations disponibles dans BigQuery.

Pour en savoir plus sur les versions de BigQuery ML, consultez les notes de version.

Autorisation Description
bigquery.models.list Répertorier les modèles et les métadonnées sur les modèles.
bigquery.models.create Créer des modèles.
bigquery.models.delete Supprimer des modèles.
bigquery.models.getMetadata Obtenir des métadonnées de modèle. Pour obtenir des données de modèle, vous avez besoin de bigquery.models.getData.
bigquery.models.getData Obtenir des données de modèle. Pour obtenir des métadonnées de modèle, vous avez besoin de bigquery.models.getMetadata.
bigquery.models.updateMetadata Mettre à jour les métadonnées de modèle. Pour mettre à jour les données de modèle, vous avez besoin de bigquery.models.updateData.
bigquery.models.updateData Mettre à jour les données de modèle. Pour mettre à jour les métadonnées de modèle, vous avez besoin de bigquery.models.updateMetadata.

Rôles

Le tableau suivant répertorie les rôles Cloud IAM prédéfinis dans BigQuery, ainsi que la liste de toutes les autorisations incluses dans chaque rôle. Les autorisations BigQuery ML sont répertoriées avec les autorisations BigQuery. Notez que chaque autorisation est applicable à un type de ressource particulier.

Rôles BigQuery

Rôle Titre Description Autorisations Ressource la plus basse
roles/
bigquery.admin
Administrateur BigQuery Fournit des autorisations permettant de gérer toutes les ressources du projet. Peut gérer toutes les données du projet et annuler des tâches exécutées par d'autres utilisateurs dans le projet. bigquery.*
resourcemanager.projects.get resourcemanager.projects.list
Projet
roles/
bigquery.connectionAdmin
Administrateur de connexion BigQueryBêta bigquery.connections.*
roles/
bigquery.connectionUser
Utilisateur de connexion BigQueryBêta bigquery.connections.get
bigquery.connections.getIamPolicy bigquery.connections.list bigquery.connections.use
roles/
bigquery.dataEditor
Éditeur de données BigQuery

Lorsque ce rôle est appliqué à un ensemble de données, il fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire les métadonnées de l'ensemble de données et répertorier les tables que celui-ci contient
  • Créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également créer des ensembles de données.

bigquery.datasets.create
bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.models.* bigquery.routines.* bigquery.tables.create bigquery.tables.delete bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.list bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag resourcemanager.projects.get resourcemanager.projects.list
Ensemble de données
roles/
bigquery.dataOwner
Propriétaire de données BigQuery

Lorsque ce rôle est appliqué à un ensemble de données, il fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire, mettre à jour et supprimer l'ensemble de données
  • Créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également créer des ensembles de données.

bigquery.datasets.*
bigquery.models.* bigquery.routines.* bigquery.tables.* resourcemanager.projects.get resourcemanager.projects.list
Ensemble de données
roles/
bigquery.dataViewer
Lecteur de données BigQuery

Lorsque ce rôle est appliqué à un ensemble de données, il fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire les métadonnées de l'ensemble de données et répertorier les tables que celui-ci contient
  • Lire les données et les métadonnées des tables de l'ensemble de données

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également énumérer tous les ensembles de données du projet. Toutefois, des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches.

bigquery.datasets.get
bigquery.datasets.getIamPolicy bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list
Ensemble de données
roles/
bigquery.jobUser
Utilisateur de tâche BigQuery Fournit des autorisations permettant d'exécuter des tâches, y compris des requêtes, dans le projet. Ce rôle peut énumérer et annuler ses propres tâches. bigquery.jobs.create
resourcemanager.projects.get resourcemanager.projects.list
Projet
roles/
bigquery.metadataViewer
Lecteur de métadonnées BigQuery

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Répertorier tous les ensembles de données et lire les métadonnées de tous les ensembles de données du projet
  • Répertorier toutes les tables et les vues, et lire les métadonnées de toutes les tables et les vues du projet

Des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches.

bigquery.datasets.get
bigquery.datasets.getIamPolicy bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.get bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list
Projet
roles/
bigquery.readSessionUser
Utilisateur de sessions de lecture BigQueryBêta Accès permettant de créer et d'utiliser des sessions de lecture. bigquery.readsessions.*
resourcemanager.projects.get resourcemanager.projects.list
roles/
bigquery.user
Utilisateur BigQuery Fournit des autorisations permettant d'exécuter des tâches, y compris des requêtes, dans le projet. Le rôle utilisateur permet d'énumérer ou d'annuler ses propres tâches, et d'énumérer les ensembles de données d'un projet. Il permet également de créer des ensembles de données dans le projet. Le créateur dispose alors du rôle bigquery.dataOwner pour ces nouveaux ensembles de données. bigquery.config.get
bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.jobs.create bigquery.jobs.list bigquery.models.list bigquery.readsessions.* bigquery.routines.list bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.list bigquery.transfers.get resourcemanager.projects.get resourcemanager.projects.list
Projet

Rôles personnalisés

En plus des rôles prédéfinis, BigQuery ML est également compatible avec les rôles personnalisés. Pour en savoir plus, consultez la page Créer et gérer les rôles personnalisés dans la documentation Cloud IAM.

Les clients ayant utilisé des rôles personnalisés avec BigQuery ML doivent noter que de nouvelles autorisations sont actuellement disponibles pour BigQuery ML. Toutefois, elles ne seront prises en compte qu'à partir du 6 juin 2019. Les clients disposant de rôles personnalisés doivent migrer vers ces autorisations au plus tard le 6 juin. Les rôles IAM prédéfinis et les rôles primitifs ne sont pas affectés par cette modification.

Pour en savoir plus sur les versions de BigQuery ML, consultez les notes de version.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…