Referência do controle de acesso

Visão geral

O serviço de transferência de dados do BigQuery usa o gerenciamento de identidade e acesso para gerenciar o acesso aos recursos. Para conceder acesso a um recurso, atribua um ou mais papéis do IAM do BigQuery a uma entidade. As permissões do serviço de transferência de dados do BigQuery são incorporadas aos papéis de IAM dele.

Nesta página, forneceremos detalhes sobre permissões e papéis do serviço de gerenciamento de identidade e acesso do serviço de transferência de dados do BigQuery. Para mais informações sobre controles de acesso nessa ferramenta, consulte a página Papéis e permissões predefinidas do BigQuery.

Permissões do serviço de transferência de dados do BigQuery

A tabela a seguir descreve as permissões disponíveis no serviço de transferência de dados do BigQuery.

Permissão Descrição
bigquery.transfers.get Recebe metadados de transferência.
bigquery.transfers.update Cria, atualiza e exclui transferências.

Papéis

A tabela abaixo mostra os papéis de IAM do BigQuery com uma lista correspondente de todas as permissões que cada papel inclui. As permissões do serviço de transferência de dados do BigQuery são listadas junto com as permissões da ferramenta. Cada permissão se aplica a um tipo específico de recurso.

Papel Permissões

Administrador do BigQuery
(roles/bigquery.admin)

Concede permissões para gerenciar todos os recursos no projeto. Pode gerenciar todos os dados no projeto e cancelar jobs de outros usuários que estejam sendo executados.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Projeto
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.config.*
  • bigquery.connections.*
  • bigquery.datasets.*
  • bigquery.jobs.*
  • bigquery.models.*
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • bigquery.routines.*
  • bigquery.rowAccessPolicies.create
  • bigquery.rowAccessPolicies.delete
  • bigquery.rowAccessPolicies.getIamPolicy
  • bigquery.rowAccessPolicies.list
  • bigquery.rowAccessPolicies.setIamPolicy
  • bigquery.rowAccessPolicies.update
  • bigquery.savedqueries.*
  • bigquery.tables.*
  • bigquery.transfers.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de conexão do BigQuery
(roles/bigquery.connectionAdmin)

  • bigquery.connections.*

Usuário de conexão do BigQuery
(roles/bigquery.connectionUser)

  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use

Editor de dados do BigQuery
(roles/bigquery.dataEditor)

Quando aplicado a uma tabela ou visualização, esse papel fornece permissões para:

  • ler e atualizar dados e metadados da tabela ou visualização;
  • excluir a tabela ou a visualização.

Esse papel não pode ser aplicado a modelos ou rotinas individuais.

Quando aplicado a um conjunto de dados, esse papel fornece permissões para:

  • ler os metadados do conjunto de dados e listar as tabelas no conjunto de dados;
  • criar, atualizar, receber e excluir as tabelas do conjunto de dados.

Quando aplicado no nível do projeto ou da organização, esse papel também cria novos conjuntos de dados.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Tabela
  • Ver
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Proprietário de dados do BigQuery
(roles/bigquery.dataOwner)

Quando aplicado a uma tabela ou visualização, esse papel fornece permissões para:

  • ler e atualizar dados e metadados da tabela ou visualização;
  • compartilhar a tabela ou a visualização;
  • excluir a tabela ou a visualização.

Esse papel não pode ser aplicado a modelos ou rotinas individuais.

Quando aplicado a um conjunto de dados, esse papel fornece permissões para:

  • ler, atualizar e excluir o conjunto de dados;
  • criar, atualizar, receber e excluir as tabelas do conjunto de dados.

Quando aplicado no nível do projeto ou da organização, esse papel também cria novos conjuntos de dados.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Tabela
  • Ver
  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.rowAccessPolicies.create
  • bigquery.rowAccessPolicies.delete
  • bigquery.rowAccessPolicies.getIamPolicy
  • bigquery.rowAccessPolicies.list
  • bigquery.rowAccessPolicies.setIamPolicy
  • bigquery.rowAccessPolicies.update
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de dados do BigQuery
(roles/bigquery.dataViewer)

Quando aplicado a uma tabela ou visualização, esse papel fornece permissões para:

  • ler dados e metadados da tabela ou visualização.

Esse papel não pode ser aplicado a modelos ou rotinas individuais.

Quando aplicado a um conjunto de dados, esse papel fornece permissões para:

  • ler os metadados do conjunto de dados e listar as tabelas no conjunto de dados;
  • ler dados e metadados das tabelas do conjunto de dados.

Quando aplicado no nível do projeto ou da organização, esse papel também enumera todos os conjuntos de dados no projeto. No entanto, são necessários papéis extras para permitir a execução de jobs.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Tabela
  • Ver
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.createSnapshot
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de dados filtrados do BigQuery
(roles/bigquery.filteredDataViewer)

Acesso de visualização de dados de tabelas filtrados definido por uma política de acesso de linha

  • bigquery.rowAccessPolicies.getFilteredData

Usuário de jobs do BigQuery
(roles/bigquery.jobUser)

Concede permissões para executar jobs, incluindo consultas, no projeto.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Projeto
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Leitor de metadados do BigQuery
(roles/bigquery.metadataViewer)

Quando aplicado a uma tabela ou visualização, esse papel fornece permissões para:

  • ler metadados da tabela ou visualização.

Esse papel não pode ser aplicado a modelos ou rotinas individuais.

Quando aplicado a um conjunto de dados, esse papel fornece permissões para:

  • listar tabelas e visualizações no conjunto de dados;
  • ler metadados das tabelas e visualizações do conjunto de dados.

Quando aplicado no nível do projeto ou da organização, esse papel fornece permissões para:

  • listar todos os conjuntos de dados e ler metadados para todos os conjuntos de dados no projeto;
  • listar todas as tabelas e visualizações e ler metadados para todas as tabelas e visualizações no projeto.

São necessários papéis extras para permitir a execução de jobs.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Tabela
  • Ver
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Usuário de sessão de leitura do BigQuery
(roles/bigquery.readSessionUser)

Acesso para criar e usar sessões de leitura

  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de recursos do BigQuery
(roles/bigquery.resourceAdmin)

Administra todos os recursos do BigQuery.

  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • recommender.bigqueryCapacityCommitmentsInsights.*
  • recommender.bigqueryCapacityCommitmentsRecommendations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Editor de recursos do BigQuery
(roles/bigquery.resourceEditor)

Gerencia todos os recursos do BigQuery, mas não pode tomar decisões de compra.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de recursos do BigQuery
(roles/bigquery.resourceViewer)

Visualiza todos os recursos do BigQuery, mas não pode editar ou tomar decisões de compra.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Usuário do BigQuery
(roles/bigquery.user)

Quando aplicado a um conjunto de dados, esse papel fornece a capacidade de ler os metadados do conjunto de dados e listar as tabelas no conjunto de dados.

Quando aplicado a um projeto, esse papel também dá a capacidade de executar jobs, incluindo consultas, dentro do projeto. Um participante com esse papel consegue enumerar e cancelar os próprios jobs, bem como enumerar conjuntos de dados em um projeto. Além disso, permite a criação de novos conjuntos de dados no projeto. O criador recebe o papel de proprietário de dados do BigQuery (roles/bigquery.dataOwner) nesses novos conjuntos de dados.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Conjunto de dados
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Papéis personalizados

Além dos papéis predefinidos, o serviço de transferência de dados do BigQuery também é compatível com papéis personalizados. Para mais informações, consulte Como criar e gerenciar papéis personalizados na documentação do IAM.