Esta página se ha traducido con Cloud Translation API.

Roles y permisos básicos

BigQuery admite roles básicos de gestión de identidades y accesos para el acceso a nivel de proyecto.

Roles básicos de los proyectos

De forma predeterminada, si das acceso a un proyecto, también se da acceso a los conjuntos de datos que contiene. El acceso predeterminado se puede anular por conjunto de datos. En la siguiente tabla se describe el acceso que se concede a los miembros de los roles básicos de gestión de identidades y accesos.

Rol básico	Funciones
`Viewer`	Puede iniciar una tarea en el proyecto. Se necesitan roles de conjunto de datos adicionales en función del tipo de trabajo. Puede mostrar y obtener todas las tareas, así como actualizar las tareas que haya iniciado en el proyecto. Si crea un conjunto de datos en un proyecto que contiene lectores, BigQuery les asigna el rol predefinido bigquery.dataViewer para el nuevo conjunto de datos.
`Editor`	Es igual que `Viewer`, pero con las siguientes funciones: Puede crear un conjunto de datos en el proyecto Si creas un conjunto de datos en un proyecto que contiene editores, BigQuery les asigna el rol predefinido bigquery.dataEditor al nuevo conjunto de datos.
`Owner`	Es igual que `Editor`, pero con las siguientes funciones: Puede revocar o cambiar cualquier rol de proyecto Pueden enumerar todos los conjuntos de datos del proyecto. Pueden eliminar cualquier conjunto de datos del proyecto. Puede enumerar y obtener todos los trabajos ejecutados en el proyecto, incluidos los trabajos ejecutados por otros usuarios del proyecto Si creas un conjunto de datos, BigQuery asigna a todos los propietarios del proyecto el rol predefinido bigquery.dataOwner para el nuevo conjunto de datos. Excepción: cuando un usuario ejecuta una consulta, se crea un conjunto de datos anónimo para almacenar la tabla de resultados almacenados en caché. Solo el usuario que ejecuta la consulta tiene acceso `OWNER` al conjunto de datos anónimo. No confundas el `OWNER` rol básico con el rol de gestión de identidades y accesos Administrador de BigQuery (`roles/bigquery.admin`). El rol de administrador de BigQuery proporciona una serie de permisos que no se conceden con el `OWNER`rol básico. Si vas a conceder acceso a nivel de proyecto a BigQuery, usa roles de gestión de identidades y accesos en lugar de roles básicos.

Los roles básicos de los proyectos se conceden o se revocan a través de la consolaGoogle Cloud . Cuando se crea un proyecto, se asigna el rol Owner al usuario que lo ha creado.

Para obtener más información sobre cómo conceder o revocar el acceso a los roles de un proyecto, consulta el artículo Conceder, cambiar y revocar el acceso a los recursos de la documentación de gestión de identidades y accesos.

Roles básicos de los conjuntos de datos

Los siguientes roles básicos se aplican a nivel del conjunto de datos.

Rol del conjunto de datos Funciones

Rol del conjunto de datos	Funciones
`READER`	Puede leer, consultar, copiar o exportar tablas del conjunto de datos. Puede leer las rutinas del conjunto de datos Puede llamar a get en el conjunto de datos Puede llamar a get y list en las tablas del conjunto de datos Puede llamar a get y list en rutinas del conjunto de datos Puede llamar a list en datos de tabla de las tablas del conjunto de datos El rol de lector de datos de BigQuery (`roles/bigquery.dataViewer`) predefinido de gestión de identidades y accesos se asigna al rol básico de BigQuery `READER`. Cuando asignas el rol Lector de datos de BigQuery a una entidad de seguridad a nivel de conjunto de datos, la entidad de seguridad obtiene `READER` acceso al conjunto de datos .
`WRITER`	Es igual que `READER`, pero con las siguientes funciones: Puede editar o añadir datos al conjunto de datos Puede llamar a insert, insertAll, update o delete en tablas Puede usar tablas del conjunto de datos como destinos de tareas de carga, copia o consulta. Puede llamar a insert, update, o delete en rutinas El rol de gestión de identidades y accesos predefinido Editor de datos de BigQuery (`roles/bigquery.dataEditor`) se asigna al rol básico de BigQuery `WRITER`. Cuando concede el rol Editor de datos de BigQuery a una entidad de seguridad a nivel de conjunto de datos, la entidad de seguridad obtiene acceso `WRITER` al conjunto de datos .
`OWNER`	Es igual que `WRITER`, pero con las siguientes funciones: Puede llamar a update en el conjunto de datos Puede llamar a delete en el conjunto de datos Un conjunto de datos debe tener al menos una entidad con el rol `OWNER`. Un usuario con el rol `OWNER` no puede quitarse su propio rol `OWNER`. El rol de gestión de identidades y accesos predefinido Propietario de datos de BigQuery (`roles/bigquery.dataOwner`) se asigna al rol básico de BigQuery `OWNER`. Cuando asignas el rol Propietario de datos de BigQuery a una entidad principal a nivel del conjunto de datos, la entidad principal obtiene `OWNER` acceso al conjunto de datos .

READER

Puede leer, consultar, copiar o exportar tablas del conjunto de datos. Puede leer las rutinas del conjunto de datos
- Puede llamar a get en el conjunto de datos
- Puede llamar a get y list en las tablas del conjunto de datos
- Puede llamar a get y list en rutinas del conjunto de datos
- Puede llamar a list en datos de tabla de las tablas del conjunto de datos

El rol de lector de datos de BigQuery (roles/bigquery.dataViewer) predefinido de gestión de identidades y accesos se asigna al rol básico de BigQuery READER. Cuando asignas el rol Lector de datos de BigQuery a una entidad de seguridad a nivel de conjunto de datos, la entidad de seguridad obtiene READER acceso al conjunto de datos

WRITER

Es igual que READER, pero con las siguientes funciones:
- Puede editar o añadir datos al conjunto de datos
  - Puede llamar a insert, insertAll, update o delete en tablas
  - Puede usar tablas del conjunto de datos como destinos de tareas de carga, copia o consulta.
  - Puede llamar a insert, update, o delete en rutinas

El rol de gestión de identidades y accesos predefinido Editor de datos de BigQuery (roles/bigquery.dataEditor) se asigna al rol básico de BigQuery WRITER. Cuando concede el rol Editor de datos de BigQuery a una entidad de seguridad a nivel de conjunto de datos, la entidad de seguridad obtiene acceso WRITER al conjunto de datos

OWNER

Es igual que WRITER, pero con las siguientes funciones:
- Puede llamar a update en el conjunto de datos
- Puede llamar a delete en el conjunto de datos

Un conjunto de datos debe tener al menos una entidad con el rol OWNER. Un usuario con el rol OWNER no puede quitarse su propio rol OWNER.

El rol de gestión de identidades y accesos predefinido Propietario de datos de BigQuery (roles/bigquery.dataOwner) se asigna al rol básico de BigQuery OWNER. Cuando asignas el rol Propietario de datos de BigQuery a una entidad principal a nivel del conjunto de datos, la entidad principal obtiene OWNER acceso al conjunto de datos

Para obtener más información sobre cómo asignar roles a nivel de conjunto de datos, consulta el artículo Controlar el acceso a los conjuntos de datos.

Cuando creas un conjunto de datos, BigQuery añade acceso predeterminado a las siguientes entidades. Los roles que especifiques al crear un conjunto de datos sobrescribirán los valores predeterminados.

Entidad Rol del conjunto de datos

Todos los usuarios con acceso Viewer al proyecto READER

Todos los usuarios con acceso Editor al proyecto WRITER

Entidad	Rol del conjunto de datos
Todos los usuarios con acceso `Viewer` al proyecto	`READER`
Todos los usuarios con acceso `Editor` al proyecto	`WRITER`
Todos los usuarios con acceso `Owner` al proyecto y el creador del conjunto de datos	`OWNER` Excepción: Cuando un usuario ejecuta una consulta, se crea un conjunto de datos anónimo para almacenar la tabla de resultados almacenados en caché. Solo el usuario que ejecuta la consulta tiene acceso `OWNER` al conjunto de datos anónimo.

Todos los usuarios con acceso Owner al proyecto
y el creador del conjunto de datos

OWNER

Excepción: Cuando un usuario ejecuta una consulta, se crea un conjunto de datos anónimo para almacenar la tabla de resultados almacenados en caché. Solo el usuario que ejecuta la consulta tiene acceso OWNER al conjunto de datos anónimo.