Access control reference

Overview

BigQuery Data Transfer Service uses Identity and Access Management to manage access to resources. To grant access to a resource, assign one or more BigQuery IAM roles to an entity. BigQuery Data Transfer Service's permissions are incorporated into the BigQuery IAM roles.

This page provides details on BigQuery Data Transfer Service Identity and Access Management permissions and roles. For more information on access controls in BigQuery, see the BigQuery predefined roles and permissions page.

BigQuery Data Transfer Service permissions

The following table describes the permissions available in BigQuery Data Transfer Service.

Permission Description
bigquery.transfers.get Get transfer metadata.
bigquery.transfers.update Create, update, and delete transfers.

Roles

The following table lists the BigQuery predefined IAM roles with a corresponding list of all the permissions each role includes. BigQuery Data Transfer Service permissions are listed along with the BigQuery permissions. Note that every permission is applicable to a particular resource type.

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/bigquery.admin BigQuery-Administrator Berechtigungen zum Verwalten aller Ressourcen im Projekt. Kann damit alle Daten im Projekt verwalten und Jobs von anderen Nutzern abbrechen, die im Projekt ausgeführt werden.
  • bigquery.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/bigquery.connectionAdmin BigQuery Connection-AdministratorBeta
  • bigquery.connections.*
roles/bigquery.connectionUser BigQuery Connection-NutzerBeta
  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use
roles/bigquery.dataEditor BigQuery-Datenbearbeiter

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren.
  • Die Tabelle oder Ansicht löschen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Metadaten des Datasets lesen und Tabellen im Dataset auflisten.
  • Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen.

Bei Anwendung auf Projekt- oder Organisationsebene können Sie durch diese Rolle zusätzlich neue Datasets erstellen.

  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.delete
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Tabelle oder Ansicht
roles/bigquery.dataOwner BigQuery-Dateninhaber

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren.
  • Tabelle oder Ansicht freigeben.
  • Die Tabelle oder Ansicht löschen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Das Lesen, Aktualisieren und Löschen des Datasets.
  • Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen.

Bei Anwendung auf Projekt- oder Organisationsebene können Sie durch diese Rolle zusätzlich neue Datasets erstellen.

  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Tabelle oder Ansicht
roles/bigquery.dataViewer BigQuery-Datenbetrachter

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten aus der Tabelle oder Ansicht lesen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Metadaten des Datasets lesen und Tabellen im Dataset auflisten.
  • Daten und Metadaten aus den Tabellen des Datasets lesen.

Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht diese Rolle die Aufzählung aller Datasets im Projekt. Für die Ausführung von Jobs sind jedoch weitere Rollen erforderlich.

  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Tabelle oder Ansicht
roles/bigquery.jobUser BigQuery-Jobnutzer Bietet Berechtigungen zum Ausführen von Jobs im Projekt, einschließlich Abfragen. Mit dieser Rolle können Sie das Vorhandensein aller Jobs prüfen, ihre eigenen Jobs aufzählen sowie diese abbrechen.
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/bigquery.metadataViewer BigQuery Metadata-Betrachter

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Metadaten aus der Tabelle oder Ansicht lesen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Tabellen und Ansichten im Dataset auflisten.
  • Metadaten aus den Tabellen und Ansichten des Datasets lesen.

Bei Anwendung auf Projekt- oder Organisationsebene gewährt diese Rolle Berechtigungen für:

  • Alle Datasets auflisten und Metadaten für alle Datasets im Projekt lesen.
  • Alle Tabellen und Ansichten auflisten sowie Metadaten für alle Tabellen und Ansichten im Projekt lesen

Für die Ausführung von Jobs sind weitere Rollen erforderlich.

  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Tabelle oder Ansicht
roles/bigquery.readSessionUser BigQuery Read Session-Nutzer Zugriff zum Erstellen und Verwenden von Lesesitzungen
  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceAdmin BigQuery Resource-AdministratorBeta Verwalten Sie alle BigQuery-Ressourcen.
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.user BigQuery-Nutzer

Bei Anwendung auf ein Dataset ermöglicht diese Rolle das Lesen der Metadaten des Datasets und das Auflisten von Tabellen im Dataset.

Bei Anwendung auf ein Projekt bietet diese Rolle auch die Möglichkeit, Jobs, einschließlich Abfragen, innerhalb des Projekts auszuführen. Ein Mitglied mit dieser Rolle kann seine eigenen Jobs auflisten, seine eigenen Jobs abbrechen und Datasets innerhalb eines Projekts aufzählen. Darüber hinaus ermöglicht die Rolle das Erstellen neuer Datasets im Projekt. Dem Ersteller wird für diese neuen Datasets die Rolle "BigQuery Data-Inhaber" (roles/bigquery.dataOwner) zugewiesen.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Dataset

Custom roles

In addition to the predefined roles, BigQuery Data Transfer Service also supports custom roles. For more information, see Creating and managing custom roles in the IAM documentation.