액세스 제어

개요

BigQuery ML은 Identity and Access Management(IAM)를 사용하여 모델 리소스에 대한 액세스를 관리합니다. 모델 리소스에 대한 액세스 권한을 부여하려면 사용자, 그룹 또는 서비스 계정에 BigQuery IAM 역할을 하나 이상 할당합니다. BigQuery ML의 권한은 BigQuery IAM 역할에 통합되어 있습니다.

이 페이지에서는 BigQuery ML Cloud Identity and Access Management 권한과 역할에 대해 자세히 알아봅니다. BigQuery에서의 액세스 제어에 대한 자세한 내용은 BigQuery 액세스 제어 페이지를 참조하세요.

BigQuery ML 권한

다음 표에서는 BigQuery ML에서 사용할 수 있는 권한을 설명합니다.

BigQuery ML 출시에 대한 자세한 내용은 출시 노트를 참조하세요.

권한 설명
bigquery.models.create 새 모델을 만듭니다.
bigquery.models.delete 모델을 삭제합니다.
bigquery.models.getData 모델 데이터를 가져옵니다. 모델 메타데이터를 가져오려면 bigquery.models.getMetadata가 필요합니다.
bigquery.models.getMetadata 모델 메타데이터를 가져옵니다. 모델 데이터를 가져오려면 bigquery.models.getData가 필요합니다.
bigquery.models.list 모델과 모델의 메타데이터를 나열합니다.
bigquery.models.updateData 모델 데이터를 업데이트합니다. 모델 메타데이터를 업데이트하려면 bigquery.models.updateMetadata가 필요합니다.
bigquery.models.updateMetadata 모델 메타데이터를 업데이트합니다. 모델 데이터를 업데이트하려면 bigquery.models.updateData가 필요합니다.
bigquery.models.create, bigquery.models.getData ML 작업 수행: ML.PREDICT, ML.WEIGHTS, ML.TRAINING_INFO, ML.FEATURE_INFO

역할

다음 표에서는 BigQuery 사전 정의 Cloud IAM 역할과 각 역할에 포함된 모든 권한 목록을 보여줍니다. BigQuery ML 권한은 BigQuery 권한과 함께 나열됩니다. 각 권한은 특정 리소스 유형에 적용할 수 있습니다.

역할 이름 설명 권한 최하위 리소스
roles/bigquery.admin BigQuery 관리자 프로젝트 내에서 모든 리소스를 관리할 권한을 제공합니다. 프로젝트 내에서 모든 데이터를 관리할 수 있고 프로젝트 내에서 실행 중인 다른 사용자의 작업을 취소할 수 있습니다.
  • bigquery.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
프로젝트
roles/bigquery.connectionAdmin BigQuery 연결 관리자 베타
  • bigquery.connections.*
roles/bigquery.connectionUser BigQuery 연결 사용자 베타
  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use
roles/bigquery.dataEditor BigQuery 데이터 편집자

데이터세트에 적용하면 dataEditor는 다음에 대한 권한을 제공합니다.

  • 데이터세트의 메타데이터를 읽고 데이터세트의 테이블을 열거하는 권한
  • 데이터세트의 테이블을 만들기, 업데이트, 가져오기, 삭제하는 권한

프로젝트 또는 조직 수준에서 적용하는 경우 이 역할은 새로운 데이터세트를 만들 수도 있습니다.

  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.delete
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.list
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
데이터세트
roles/bigquery.dataOwner BigQuery 데이터 소유자

데이터세트에 적용할 경우, dataOwner는 다음과 같은 권한을 제공합니다.

  • 데이터세트 읽기, 업데이트. 삭제 권한
  • 데이터세트의 테이블을 만들기, 업데이트, 가져오기, 삭제하는 권한

프로젝트 또는 조직 수준에서 적용하는 경우 이 역할은 새로운 데이터세트를 만들 수도 있습니다.

  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
데이터세트
roles/bigquery.dataViewer BigQuery 데이터 뷰어

데이터세트에 적용하면 dataViewer는 다음에 대한 권한을 제공합니다.

  • 데이터세트의 메타데이터를 읽고 데이터세트의 테이블을 열거하는 권한
  • 데이터세트의 테이블에서 데이터와 메타데이터를 읽는 권한

프로젝트 또는 조직 수준에서 적용하면 이 역할은 프로젝트의 모든 데이터세트를 열거할 수도 있습니다. 하지만 작업 실행을 허용하려면 추가 역할이 필요합니다.

  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
데이터세트
roles/bigquery.jobUser BigQuery 작업 사용자 프로젝트 내에서 쿼리 등의 작업을 실행하기 위한 권한입니다. 이 역할은 모든 작업의 존재를 확인하고 자신의 작업을 열거하고 취소할 수 있습니다.
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
프로젝트
roles/bigquery.metadataViewer BigQuery 메타데이터 뷰어

프로젝트 또는 조직 수준에서 적용하는 경우 metadataViewer는 다음에 대한 권한을 제공합니다.

  • 모든 데이터세트를 나열하고 프로젝트에 있는 모든 데이터세트의 메타데이터를 읽는 권한
  • 모든 테이블과 뷰를 나열하고 프로젝트에 있는 모든 테이블과 뷰의 메타데이터를 읽는 권한

작업 실행을 허용하려면 추가 역할이 필요합니다.

  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
프로젝트
roles/bigquery.readSessionUser BigQuery 읽기 세션 사용자 읽기 세션을 만들고 사용할 수 있는 액세스 권한입니다.
  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceAdmin BigQuery 리소스 관리자 베타 모든 BigQuery 리소스를 관리합니다.
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.user BigQuery 사용자 프로젝트 내에서 쿼리 등의 작업을 실행하기 위한 권한입니다. 이 사용자 역할은 자신의 작업을 열거하고, 자신의 작업을 취소하고, 프로젝트 내에서 데이터세트를 열거할 수 있습니다. 또한 프로젝트 내에서 새로운 데이터세트를 만들 수 있습니다. 생성자에게는 새로운 데이터세트에 대한 bigquery.dataOwner 역할이 부여됩니다.
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
프로젝트

커스텀 역할

사전 정의된 역할 외에 BigQuery ML에서는 커스텀 역할도 지원됩니다. 자세한 내용은 Cloud IAM 문서의 커스텀 역할 만들기 및 관리를 참조하세요.

BigQuery ML에서 커스텀 역할을 사용했던 고객은 현재 BigQuery ML에서 사용할 수 있는 새로운 권한이 있지만 이러한 권한은 2019년 6월 6일까지 활성화되지 않는다는 점을 유의해야 합니다. 커스텀 역할을 사용하는 고객은 6월 6일까지는 이러한 권한으로 마이그레이션해야 합니다. 사전 정의된 IAM 역할과 기본 역할은 이 변경의 영향을 받지 않습니다.

BigQuery ML 출시에 대한 자세한 내용은 출시 노트를 참조하세요.