Ruoli e autorizzazioni di base

Panoramica

BigQuery supporta i ruoli di base IAM per l'accesso a livello di progetto.

Ruoli di base per i progetti

Per impostazione predefinita, la concessione dell'accesso a un progetto consente anche l'accesso ai set di dati al suo interno. L'accesso predefinito può essere ignorato in base al set di dati. La seguente tabella descrive l'accesso concesso ai membri dei ruoli IAM di base.

Ruolo di base	Funzionalità
`Viewer`	Può avviare un job nel progetto. Sono richiesti ruoli aggiuntivi per il set di dati, a seconda del tipo di job. Può elencare e recuperare tutti i job, nonché aggiornare i job che hanno avviato per il progetto Se crei un set di dati in un progetto che contiene visualizzatori, BigQuery concede a questi utenti il ruolo predefinito bigquery.dataViewer per il nuovo set di dati.
`Editor`	Uguale a `Viewer`, più: Può creare un nuovo set di dati nel progetto Se crei un set di dati in un progetto che contiene editor, BigQuery concede a questi utenti il ruolo predefinito bigquery.dataEditor per il nuovo set di dati.
`Owner`	Uguale a `Editor`, più: Può revocare o modificare qualsiasi ruolo di progetto Può elencare tutti i set di dati nel progetto Può eliminare qualsiasi set di dati nel progetto Può elencare e recuperare tutti i job eseguiti nel progetto, compresi quelli eseguiti da altri utenti del progetto Se crei un set di dati, BigQuery concede a tutti i proprietari del progetto il ruolo predefinito bigquery.dataOwner per il nuovo set di dati. Eccezione: quando un utente esegue una query, viene creato un set di dati anonimo per archiviare la tabella dei risultati memorizzata nella cache. Solo all'utente che esegue la query viene concesso l'accesso `OWNER` al set di dati anonimo.

I ruoli di base per i progetti vengono concessi o revocati tramite la console Google Cloud. Quando viene creato un progetto, il ruolo Owner viene concesso all'utente che ha creato il progetto.

Per ulteriori informazioni su come concedere o revocare l'accesso per i ruoli di progetto, consulta Concessione, modifica e revoca dell'accesso alle risorse nella documentazione di IAM.

Ruoli di base per i set di dati

I seguenti ruoli di base si applicano a livello del set di dati.

Ruolo set di dati Funzionalità

Ruolo set di dati	Funzionalità
`READER`	Può leggere, eseguire query, copiare o esportare tabelle nel set di dati. Può leggere le routine nel set di dati. Può chiamare get sul set di dati Può chiamare get ed list sulle tabelle nel set di dati Può chiamare get ed list su routine nel set di dati Può chiamare list sui dati della tabella per le tabelle nel set di dati
`WRITER`	Uguale a `READER`, più: Può modificare o aggiungere dati al set di dati. Può chiamare insert, insertAll, update o delete sulle tabelle Può utilizzare le tabelle nel set di dati come destinazioni per job di caricamento, copia o query Può chiamare insert, update o delete sulle routine
`OWNER`	Uguale a `WRITER`, più: Può chiamare update sul set di dati Può chiamare delete sul set di dati Nota: un set di dati deve avere almeno un'entità con il ruolo `OWNER`. Un utente con il ruolo `OWNER` non può rimuovere il proprio ruolo `OWNER`.

READER

Può leggere, eseguire query, copiare o esportare tabelle nel set di dati. Può leggere le routine nel set di dati.
- Può chiamare get sul set di dati
- Può chiamare get ed list sulle tabelle nel set di dati
- Può chiamare get ed list su routine nel set di dati
- Può chiamare list sui dati della tabella per le tabelle nel set di dati

WRITER

Uguale a READER, più:
- Può modificare o aggiungere dati al set di dati.
  - Può chiamare insert, insertAll, update o delete sulle tabelle
  - Può utilizzare le tabelle nel set di dati come destinazioni per job di caricamento, copia o query
  - Può chiamare insert, update o delete sulle routine

OWNER

Uguale a WRITER, più:
- Può chiamare update sul set di dati
- Può chiamare delete sul set di dati

Nota: un set di dati deve avere almeno un'entità con il ruolo OWNER. Un utente con il ruolo OWNER non può rimuovere il proprio ruolo OWNER.

Per saperne di più sull'assegnazione dei ruoli a livello del set di dati, consulta Controllo dell'accesso ai set di dati.

Quando crei un nuovo set di dati, BigQuery aggiunge l'accesso predefinito al set di dati per le seguenti entità. I ruoli specificati al momento della creazione del set di dati sovrascrivono i valori predefiniti.

Entità Ruolo set di dati

Tutti gli utenti con accesso Viewer al progetto READER

Tutti gli utenti con accesso Editor al progetto WRITER

Entità	Ruolo set di dati
Tutti gli utenti con accesso `Viewer` al progetto	`READER`
Tutti gli utenti con accesso `Editor` al progetto	`WRITER`
Tutti gli utenti con accesso `Owner` al progetto e l'autore del set di dati	`OWNER` Eccezione: quando un utente esegue una query, viene creato un set di dati anonimo per archiviare la tabella dei risultati memorizzata nella cache. Solo all'utente che esegue la query viene concesso l'accesso `OWNER` al set di dati anonimo.

Tutti gli utenti con accesso Owner al progetto
e l'autore del set di dati

OWNER

Eccezione: quando un utente esegue una query, viene creato un set di dati anonimo per archiviare la tabella dei risultati memorizzata nella cache. Solo all'utente che esegue la query viene concesso l'accesso OWNER al set di dati anonimo.