Documentation de référence sur le contrôle des accès

Présentation

Le service de transfert de données BigQuery utilise IAM (Identity and Access Management) pour gérer l'accès aux ressources. Pour accorder l'accès à une ressource, attribuez un ou plusieurs rôles IAM BigQuery à une entité. Les autorisations du service de transfert de données BigQuery sont intégrées aux rôles IAM BigQuery.

Cette page fournit des informations sur les autorisations et les rôles IAM (Identity and Access Management) associés au service de transfert de données BigQuery. Pour en savoir plus sur le contrôle des accès dans BigQuery, consultez la page Rôles et autorisations BigQuery prédéfinis.

Autorisations du service de transfert de données BigQuery

Le tableau suivant décrit les autorisations disponibles dans le service de transfert de données BigQuery.

Autorisation	Description
`bigquery.transfers.get`	Obtenir des métadonnées de transfert
`bigquery.transfers.update`	Créer, mettre à jour et supprimer des transferts

Rôles

Le tableau suivant répertorie les rôles IAM prédéfinis dans BigQuery, ainsi que la liste de toutes les autorisations incluses dans chaque rôle. Les autorisations du service de transfert de données BigQuery sont répertoriées avec les autorisations BigQuery. Notez que chaque autorisation est applicable à un type de ressource particulier.

Rôle	Autorisations
Administrateur BigQuery (`roles/bigquery.admin`) Fournit des autorisations permettant de gérer toutes les ressources du projet. Peut gérer toutes les données du projet et annuler des tâches exécutées par d'autres utilisateurs dans le projet. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.config.* bigquery.connections.* bigquery.datasets.* bigquery.jobs.* bigquery.models.* bigquery.readsessions.* bigquery.reservationAssignments.* bigquery.reservations.* bigquery.routines.* bigquery.rowAccessPolicies.create bigquery.rowAccessPolicies.delete bigquery.rowAccessPolicies.getIamPolicy bigquery.rowAccessPolicies.list bigquery.rowAccessPolicies.setIamPolicy bigquery.rowAccessPolicies.update bigquery.savedqueries.* bigquery.tables.* bigquery.transfers.* resourcemanager.projects.get resourcemanager.projects.list
Administrateur de connexion BigQuery (`roles/bigquery.connectionAdmin`)	bigquery.connections.*
Utilisateur de connexion BigQuery (`roles/bigquery.connectionUser`)	bigquery.connections.get bigquery.connections.getIamPolicy bigquery.connections.list bigquery.connections.use
Éditeur de données BigQuery (`roles/bigquery.dataEditor`) Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes : Lire et mettre à jour les données et les métadonnées de la table ou de la vue Supprimer la table ou la vue Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels. Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes : Lire les métadonnées de l'ensemble de données et répertorier les tables qu'il contient Créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également créer des ensembles de données. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Table Afficher	bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.models.* bigquery.routines.* bigquery.tables.create bigquery.tables.createSnapshot bigquery.tables.delete bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list bigquery.tables.restoreSnapshot bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag resourcemanager.projects.get resourcemanager.projects.list
Propriétaire de données BigQuery (`roles/bigquery.dataOwner`) Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes : Lire et mettre à jour les données et les métadonnées de la table ou de la vue Partager la table ou la vue Supprimer la table ou la vue Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels. Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes : Lire, mettre à jour et supprimer l'ensemble de données créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données. Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également créer des ensembles de données. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Table Afficher	bigquery.datasets.* bigquery.models.* bigquery.routines.* bigquery.rowAccessPolicies.create bigquery.rowAccessPolicies.delete bigquery.rowAccessPolicies.getIamPolicy bigquery.rowAccessPolicies.list bigquery.rowAccessPolicies.setIamPolicy bigquery.rowAccessPolicies.update bigquery.tables.* resourcemanager.projects.get resourcemanager.projects.list
Lecteur de données BigQuery (`roles/bigquery.dataViewer`) Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes : Lire les données et les métadonnées de la table ou de la vue Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels. Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes : Lire les métadonnées de l'ensemble de données et répertorier les tables qu'il contient Lire les données et les métadonnées des tables de l'ensemble de données Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également énumérer tous les ensembles de données du projet. Toutefois, des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Table Afficher	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.createSnapshot bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list
Lecteur de données filtrées BigQuery (`roles/bigquery.filteredDataViewer`) Accès permettant d'afficher les données de table filtrées en fonction d'une règle d'accès aux lignes	bigquery.rowAccessPolicies.getFilteredData
Utilisateur de tâche BigQuery (`roles/bigquery.jobUser`) Fournit des autorisations permettant d'exécuter des tâches, y compris des requêtes, dans le projet. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	bigquery.jobs.create resourcemanager.projects.get resourcemanager.projects.list
Lecteur de métadonnées BigQuery (`roles/bigquery.metadataViewer`) Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes : Lire les métadonnées de la table ou de la vue Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels. Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes : Répertorier les tables et les vues dans l'ensemble de données Lire les métadonnées des tables et des vues de l'ensemble de données Lorsqu'il est appliqué au niveau du projet ou de l'organisation, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes : Répertorier tous les ensembles de données et lire les métadonnées de tous les ensembles de données du projet répertorier toutes les tables et vues, et lire les métadonnées de toutes les tables et vues du projet. Des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Table Afficher	bigquery.datasets.get bigquery.datasets.getiamPolicy bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.get bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list
Utilisateur de sessions de lecture BigQuery (`roles/bigquery.readSessionUser`) Accès permettant de créer et d'utiliser des sessions de lecture	bigquery.readsessions.* resourcemanager.projects.get resourcemanager.projects.list
Administrateur de ressources BigQuery (`roles/bigquery.resourceAdmin`) Gérer toutes les ressources BigQuery.	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.* bigquery.reservations.* recommender.bigqueryCapacityCommitmentsInsights.* recommender.bigqueryCapacityCommitmentsRecommendations.* resourcemanager.projects.get resourcemanager.projects.list
Éditeur de ressources BigQuery (`roles/bigquery.resourceEditor`) Gérer toutes les ressources BigQuery, sans pouvoir prendre de décisions d'achat.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.* bigquery.reservations.* resourcemanager.projects.get resourcemanager.projects.list
Lecteur de ressources BigQuery (`roles/bigquery.resourceViewer`) Afficher toutes les ressources BigQuery sans pouvoir apporter de modifications ou prendre de décisions d'achat.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list resourcemanager.projects.get resourcemanager.projects.list
Utilisateur BigQuery (`roles/bigquery.user`) Lorsqu'il est appliqué à un ensemble de données, ce rôle permet d'en lire les métadonnées et d'en répertorier les tables. Lorsqu'il est appliqué à un projet, ce rôle permet également d'exécuter des tâches, telles que des requêtes, au sein du projet. Un compte principal doté de ce rôle peut énumérer ou annuler ses propres tâches et énumérer les ensembles de données d'un projet. En outre, ce rôle permet la création de nouveaux ensembles de données au sein du projet. Le créateur dispose alors du rôle de propriétaire de données BigQuery (`roles/bigquery.dataOwner`) sur ces nouveaux ensembles de données. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Ensemble de données	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.config.get bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.jobs.create bigquery.jobs.list bigquery.models.list bigquery.readsessions.* bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list bigquery.routines.list bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.list bigquery.transfers.get resourcemanager.projects.get resourcemanager.projects.list

Rôles personnalisés

En plus des rôles prédéfinis, le service de transfert de données BigQuery est également compatible avec les rôles personnalisés. Pour en savoir plus, consultez la page Créer et gérer des rôles personnalisés de la documentation IAM.