概览
BigQuery ML 使用 Identity and Access Management (IAM) 管理对模型资源的访问权限。如需授予对模型资源的访问权限,请为用户、群组或服务帐号分配一个或多个 IAM 角色。IAM 角色包含 BigQuery ML 的权限。
本页面详细介绍 BigQuery ML IAM 权限和角色。如需详细了解 BigQuery 中的访问权限控制,请参阅 BigQuery 访问权限控制页面。
BigQuery ML 权限
下表介绍了 BigQuery ML 中提供的权限。
如需详细了解 BigQuery ML 版本,请参阅版本说明。
权限 | 说明 |
---|---|
bigquery.jobs.create bigquery.models.create bigquery.models.getData bigquery.models.updateData |
使用 CREATE MODEL 语句创建新模型 |
bigquery.jobs.create bigquery.models.create bigquery.models.getData bigquery.models.updateData bigquery.models.updateMetadata |
使用 CREATE OR REPLACE MODEL 语句替换现有模型 |
bigquery.models.delete |
使用 models.delete API 删除模型 |
bigquery.jobs.create bigquery.models.delete |
使用 DROP MODEL 语句删除模型 |
bigquery.models.getMetadata |
使用 models.get API 获取模型元数据 |
bigquery.models.list |
使用 models.list API 列出模型和模型上的元数据 |
bigquery.models.updateMetadata |
使用 models.delete API 更新模型元数据。如果要设置或更新模型的非零到期时间,则还需要 bigquery.models.delete 权限 |
bigquery.jobs.create bigquery.models.getData
|
使用 ML.EVALUATE 、ML.PREDICT 、ML.TRAINING_INFO 和 ML.WEIGHTS 等执行评估、预测以及模型和特性检查。 |
bigquery.jobs.create bigquery.models.export
|
导出模型 |
角色
下表列出了 BigQuery 预定义的 IAM 角色及每个角色包含的所有权限的列表。BigQuery ML 权限与 BigQuery 权限一同列出。请注意,每个权限适用于特定的资源类型。
角色 | 名称 | 说明 | 权限 | 最低资源要求 |
---|---|---|---|---|
roles/ |
BigQuery Admin | 提供管理项目中所有资源的权限。获授此角色的用户可以管理项目中的所有数据,也可以取消其他用户正在项目中运行的作业。 |
|
项目 |
roles/ |
BigQuery Connection Admin |
|
||
roles/ |
BigQuery Connection User |
|
||
roles/ |
BigQuery Data Editor |
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,还可提供创建新数据集的权限。 |
|
表或视图 |
roles/ |
BigQuery Data Owner |
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,还可提供创建新数据集的权限。 |
|
表或视图 |
roles/ |
BigQuery Data Viewer |
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,还可提供枚举项目中所有数据集的权限。但若要运行作业,还需要具备其他角色。 |
|
表或视图 |
roles/ |
BigQuery Job User | 提供在项目中运行作业(包括查询)的权限。 |
|
项目 |
roles/ |
BigQuery Metadata Viewer |
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,可提供以下权限:
但若要运行作业,还需要具备其他角色。 |
|
表或视图 |
roles/ |
BigQuery Read Session User | 拥有创建和使用读取会话的权限 |
|
|
roles/ |
BigQuery Resource Admin | 管理所有 BigQuery 资源。 |
|
|
roles/ |
BigQuery Resource Editor | 管理所有 BigQuery 资源,但不能做出购买决定。 |
|
|
roles/ |
BigQuery Resource Viewer | 可查看所有 BigQuery 资源,但不能执行更改或做出购买决定。 |
|
|
roles/ |
BigQuery User |
此角色应用于数据集时,让您可以读取数据集的元数据并列出数据集中的表。 应用于项目时,此角色还提供在项目内运行作业(包括查询)的能力。具有此角色的成员可以枚举自己的作业、取消自己的作业,还可以枚举项目中的数据集。此外,具有此角色的用户还可以在项目中创建新数据集;对于这些新数据集,系统会为创建者授予 BigQuery Data Owner 角色 ( |
|
数据集 |
自定义角色
除预定义角色之外,BigQuery ML 还支持自定义角色。如需了解详情,请参阅 IAM 文档中的创建和管理自定义角色。
如需详细了解 BigQuery ML 版本,请参阅版本说明。