Access control reference

Overview

BigQuery Data Transfer Service uses Cloud Identity and Access Management to manage access to resources. To grant access to a resource, assign one or more BigQuery Cloud IAM roles to an entity. BigQuery Data Transfer Service's permissions are incorporated into the BigQuery Cloud IAM roles.

This page provides details on BigQuery Data Transfer Service Cloud Identity and Access Management permissions and roles. For more information on access controls in BigQuery, see the BigQuery predefined roles and permissions page.

BigQuery Data Transfer Service permissions

The following table describes the permissions available in BigQuery Data Transfer Service.

Permission Description
bigquery.transfers.get Get transfer metadata.
bigquery.transfers.update Create, update, and delete transfers.

Roles

The following table lists the BigQuery predefined Cloud IAM roles with a corresponding list of all the permissions each role includes. BigQuery Data Transfer Service permissions are listed along with the BigQuery permissions. Note that every permission is applicable to a particular resource type.

Rôle Titre Description Autorisations Ressource la plus basse
roles/bigquery.admin Administrateur BigQuery Fournit des autorisations permettant de gérer toutes les ressources du projet. Peut gérer toutes les données du projet et annuler des tâches exécutées par d'autres utilisateurs dans le projet.
  • bigquery.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projet
roles/bigquery.connectionAdmin Administrateur de connexion BigQueryBêta
  • bigquery.connections.*
roles/bigquery.connectionUser Utilisateur de connexion BigQueryBêta
  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use
roles/bigquery.dataEditor Éditeur de données BigQuery

Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations pour :

  • Lire les métadonnées de l'ensemble de données et répertorier les tables que celui-ci contient
  • créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données.

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il permet également de créer des ensembles de données.

  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.delete
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Ensemble de données
roles/bigquery.dataOwner Propriétaire de données BigQuery

Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations pour :

  • Lire, mettre à jour et supprimer l'ensemble de données
  • créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données.

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il permet également de créer des ensembles de données.

  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Ensemble de données
roles/bigquery.dataViewer Lecteur de données BigQuery

Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations pour :

  • Lire les métadonnées de l'ensemble de données et répertorier les tables que celui-ci contient
  • lire les données et les métadonnées des tables de l'ensemble de données.

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également énumérer tous les ensembles de données du projet. Toutefois, des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches.

  • bigquery.datasets.get
  • bigquery.datasets.getiamPolicy
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Ensemble de données
roles/bigquery.jobUser Utilisateur de tâche BigQuery Fournit des autorisations permettant d'exécuter des tâches, y compris des requêtes, dans le projet. Ce rôle permet de vérifier l'existence de toutes leurs tâches, de les énumérer et de les annuler.
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projet
roles/bigquery.metadataViewer Lecteur de métadonnées BigQuery

Lorsqu'il est appliqué au niveau du projet ou de l'organisation, ce rôle fournit des autorisations pour :

  • répertorier tous les ensembles de données et lire les métadonnées de tous les ensembles de données du projet ;
  • répertorier toutes les tables et vues, et lire les métadonnées de toutes les tables et vues du projet.

Des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches.

  • bigquery.datasets.get
  • bigquery.datasets.getiamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projet
roles/bigquery.readSessionUser Utilisateur de sessions de lecture BigQuery Accès permettant de créer et d'utiliser des sessions de lecture
  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceAdmin Administrateur de ressources BigQuery Bêta Gérer toutes les ressources BigQuery.
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.user Utilisateur BigQuery

Lorsqu'il est appliqué à un ensemble de données, ce rôle permet d'en lire les métadonnées et d'en répertorier les tables.

Lorsqu'il est appliqué à un projet, ce rôle permet également d'exécuter des tâches, telles que des requêtes, au sein du projet. Un membre doté de ce rôle peut énumérer ou annuler ses propres tâches et énumérer les ensembles de données d'un projet. En outre, ce rôle permet la création de nouveaux ensembles de données au sein du projet. Le créateur dispose alors du rôle de propriétaire de données BigQuery (roles/bigquery.dataOwner) sur ces nouveaux ensembles de données.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Ensemble de données

Custom roles

In addition to the predefined roles, BigQuery Data Transfer Service also supports custom roles. For more information, see Creating and managing custom roles in the Cloud IAM documentation.