Overview
BigQuery ML uses Identity and Access Management (IAM) to manage access to model resources. To grant access to a model resource, assign one or more IAM roles to a user, group, or service account. BigQuery ML's permissions are incorporated into the IAM roles.
This page provides details on BigQuery ML IAM permissions and roles. For more information on access controls in BigQuery, see the BigQuery access control page.
BigQuery ML permissions
The following table describes the permissions available in BigQuery ML.
For more information on BigQuery ML releases, see the Release notes.
| Permission | Description |
|---|---|
bigquery.jobs.createbigquery.models.createbigquery.models.getDatabigquery.models.updateData |
Create a new model using CREATE MODEL statement |
bigquery.jobs.createbigquery.models.createbigquery.models.getDatabigquery.models.updateDatabigquery.models.updateMetadata |
Replace an existing model using CREATE OR REPLACE MODEL statement |
bigquery.models.delete |
Delete model using models.delete API |
bigquery.jobs.createbigquery.models.delete |
Delete model using DROP MODEL statement |
bigquery.models.getMetadata |
Get model metadata using models.get API |
bigquery.models.list |
List models and metadata on models using models.list API |
bigquery.models.updateMetadata |
Update model metadata using models.delete API. If setting or updating a non-zero expiration
time for Model, bigquery.models.delete permission is also needed |
bigquery.jobs.createbigquery.models.getData
|
Perform evaluation, prediction and model and feature inspections using
ML.EVALUATE, ML.PREDICT, ML.TRAINING_INFO, and
ML.WEIGHTS, etc. |
bigquery.jobs.createbigquery.models.export
|
Export a model |
Roles
The following table lists the BigQuery predefined IAM roles with a corresponding list of all the permissions each role includes. BigQuery ML permissions are listed along with the BigQuery permissions. Note that every permission is applicable to a particular resource type.
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
BigQuery Admin | 提供管理项目中所有资源的权限。获授此角色的用户可以管理项目中的所有数据,也可以取消其他用户正在项目中运行的作业。 |
|
项目 |
roles/ |
BigQuery Connection Admin |
|
||
roles/ |
BigQuery Connection User |
|
||
roles/ |
BigQuery Data Editor |
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,还可提供创建新数据集的权限。 |
|
表或视图 |
roles/ |
BigQuery Data Owner |
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,还可提供创建新数据集的权限。 |
|
表或视图 |
roles/ |
BigQuery Data Viewer |
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,还可提供枚举项目中所有数据集的权限。但若要运行作业,还需要具备其他角色。 |
|
表或视图 |
roles/ |
BigQuery Job User | 提供在项目中运行作业(包括查询)的权限。 |
|
项目 |
roles/ |
BigQuery Metadata Viewer |
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,可提供以下权限:
但若要运行作业,还需要具备其他角色。 |
|
表或视图 |
roles/ |
BigQuery Read Session User | 拥有创建和使用读取会话的权限 |
|
|
roles/ |
BigQuery Resource Admin | 管理所有 BigQuery 资源。 |
|
|
roles/ |
BigQuery Resource Editor | 管理所有 BigQuery 资源,但不能做出购买决定。 |
|
|
roles/ |
BigQuery Resource Viewer | 可查看所有 BigQuery 资源,但不能执行更改或做出购买决定。 |
|
|
roles/ |
BigQuery User |
此角色应用于数据集时,让您可以读取数据集的元数据并列出数据集中的表。 应用于项目时,此角色还提供在项目内运行作业(包括查询)的能力。具有此角色的成员可以枚举自己的作业、取消自己的作业,还可以枚举项目中的数据集。此外,具有此角色的用户还可以在项目中创建新数据集;对于这些新数据集,系统会为创建者授予 BigQuery Data Owner 角色 ( |
|
数据集 |
Custom roles
In addition to the predefined roles, BigQuery ML also supports custom roles. For more information, see Creating and managing custom roles in the IAM documentation.
For more information on BigQuery ML releases, see the Release notes.