基本ロールと権限

BigQuery は、プロジェクトレベルのアクセスを許可するため、IAM の基本ロールをサポートしています。

プロジェクトの基本ロール

デフォルトでは、プロジェクトへのアクセス権限を付与すると、その中のデータセットにもアクセス権が付与されます。デフォルトのアクセス権限はデータセット単位でオーバーライドできます。次の表に、IAM の基本ロールのメンバーに付与されるアクセス権を示します。

基本ロール	機能
`Viewer`	プロジェクトでジョブを開始できます。ジョブの種類によっては、データセットのロールが追加で必要になります。すべてのジョブを一覧表示して取得し、プロジェクトに対して開始したジョブを更新できます。閲覧者が含まれるプロジェクトにデータセットを作成すると、BigQuery によって、新しいデータセット用の事前定義ロール bigquery.dataViewer がそれらのユーザーに付与されます。
`Editor`	`Viewer` で可能な操作に加えて、次の操作が可能です。プロジェクトで新しいデータセットを作成できます。編集者が含まれるプロジェクトにデータセットを作成すると、BigQuery によって、新しいデータセット用の事前定義ロール bigquery.dataEditor がそれらのユーザーに付与されます。
`Owner`	`Editor` で可能な操作に加えて、次の操作が可能です。プロジェクトのロールの取り消し、または変更を行うプロジェクトのすべてのデータセットをリスト表示するプロジェクトの任意のデータセットを削除できます。プロジェクトで実行されているすべてのジョブ（他のプロジェクトユーザーによって実行されたジョブを含む）を一覧表示し、それらのジョブを取得できます。データセットを作成すると、BigQuery によって、新しいデータセット用の定義済みのロール bigquery.dataOwner がすべてのプロジェクトオーナーに付与されます。例外: ユーザーがクエリを実行すると、キャッシュに保存される結果テーブルを格納するために匿名データセットが作成されます。クエリを実行するユーザーにのみ、匿名データセットに対する `OWNER` アクセス権が付与されます。 `OWNER` 基本ロールと BigQuery 管理者（`roles/bigquery.admin`）IAM ロールを混同しないでください。BigQuery 管理者には、`OWNER` 基本ロールでは付与されない権限が多数含まれています。BigQuery にプロジェクトレベルのアクセス権を付与する場合は、基本ロールではなく IAM ロールを使用します。

プロジェクトの基本ロールは、Google Cloud コンソールを使用して付与または取り消します。プロジェクトが作成されると、プロジェクトを作成したユーザーに Owner のロールが付与されます。

プロジェクトロールへのアクセス権の付与と取り消しについては、IAM ドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。

データセットの基本ロール

以下の基本ロールはデータセットレベルで適用されます。

データセットロール機能

データセットロール	機能
`READER`	データセットのテーブルの読み取り、クエリ、コピー、エクスポートを行えます。データセット内のルーティンを読み取ることも可能です。データセットで get を呼び出すことができます。データセット内のテーブルで get と list を呼び出すことができます。データセット内のルーティンで get と list を呼び出すことができます。データセット内のテーブルのテーブルデータで list を呼び出すことができます。 BigQuery データ閲覧者（`roles/bigquery.dataViewer`）の IAM 事前定義ロールは、`READER` BigQuery 基本ロールにマッピングされます。データセットレベルでプリンシパルに BigQuery データ閲覧者を付与すると、プリンシパルにデータセットへの `READER` アクセス権が付与されます。
`WRITER`	`READER` で可能な操作に加えて、次の操作が可能です。データセットのデータを編集または追加できます。テーブルで insert、insertAll、update、delete を呼び出すことができます。データセット内のテーブルを、ジョブの読み込み、コピー、クエリの実行先として使用できます。ルーティンで insert、update、delete を呼び出すことができます。 BigQuery データ編集者（`roles/bigquery.dataEditor`）の IAM 事前定義ロールは、`WRITER` BigQuery 基本ロールにマッピングされます。データセットレベルで BigQuery データ編集者をプリンシパルに付与すると、プリンシパルにデータセットへの `WRITER` アクセス権が付与されます。
`OWNER`	`WRITER` で可能な操作に加えて、次の操作が可能です。データセットで update を呼び出すことができます。データセットで delete を呼び出すことができます。データセットには、`OWNER` ロールを持つエンティティが少なくとも 1 つ必要です。`OWNER` ロールを持つユーザーは自分の `OWNER` ロールを削除できません。 BigQuery データオーナー（`roles/bigquery.dataOwner`）の IAM 事前定義ロールは、`OWNER` BigQuery 基本ロールにマッピングされます。データセットレベルでプリンシパルに BigQuery データオーナーを付与すると、プリンシパルにデータセットへの `OWNER` アクセス権が付与されます。

READER

データセットのテーブルの読み取り、クエリ、コピー、エクスポートを行えます。データセット内のルーティンを読み取ることも可能です。
- データセットで get を呼び出すことができます。
- データセット内のテーブルで get と list を呼び出すことができます。
- データセット内のルーティンで get と list を呼び出すことができます。
- データセット内のテーブルのテーブルデータで list を呼び出すことができます。

BigQuery データ閲覧者（roles/bigquery.dataViewer）の IAM 事前定義ロールは、READER BigQuery 基本ロールにマッピングされます。データセットレベルでプリンシパルに BigQuery データ閲覧者を付与すると、プリンシパルにデータセットへの READER アクセス権が付与されます。

WRITER

READER で可能な操作に加えて、次の操作が可能です。
- データセットのデータを編集または追加できます。
  - テーブルで insert、insertAll、update、delete を呼び出すことができます。
  - データセット内のテーブルを、ジョブの読み込み、コピー、クエリの実行先として使用できます。
  - ルーティンで insert、update、delete を呼び出すことができます。

BigQuery データ編集者（roles/bigquery.dataEditor）の IAM 事前定義ロールは、WRITER BigQuery 基本ロールにマッピングされます。データセットレベルで BigQuery データ編集者をプリンシパルに付与すると、プリンシパルにデータセットへの WRITER アクセス権が付与されます。

OWNER

WRITER で可能な操作に加えて、次の操作が可能です。
- データセットで update を呼び出すことができます。
- データセットで delete を呼び出すことができます。

データセットには、OWNER ロールを持つエンティティが少なくとも 1 つ必要です。OWNER ロールを持つユーザーは自分の OWNER ロールを削除できません。

BigQuery データオーナー（roles/bigquery.dataOwner）の IAM 事前定義ロールは、OWNER BigQuery 基本ロールにマッピングされます。データセットレベルでプリンシパルに BigQuery データオーナーを付与すると、プリンシパルにデータセットへの OWNER アクセス権が付与されます。

データセットレベルでロールを割り当てる方法について詳しくは、データセットへのアクセスの制御をご覧ください。

新しいデータセットを作成すると、BigQuery によってデフォルトのデータセットアクセス権限が次のエンティティに追加されます。データセットの作成時にロールを指定すると、デフォルトの値が上書きされます。

エンティティデータセットロール

プロジェクトに対する Viewer アクセス権限を持つすべてのユーザー READER

プロジェクトに対する Editor アクセス権限を持つすべてのユーザー WRITER

エンティティ	データセットロール
プロジェクトに対する `Viewer` アクセス権限を持つすべてのユーザー	`READER`
プロジェクトに対する `Editor` アクセス権限を持つすべてのユーザー	`WRITER`
プロジェクトに対する `Owner` アクセス権限を持つすべてのユーザーおよびデータベース作成者	`OWNER` 例外: ユーザーがクエリを実行すると、キャッシュに保存される結果テーブルを格納するために匿名データセットが作成されます。クエリを実行するユーザーにのみ、匿名データセットに対する `OWNER` アクセス権が付与されます。

プロジェクトに対する Owner アクセス権限を持つすべてのユーザー
およびデータベース作成者

OWNER

例外: ユーザーがクエリを実行すると、キャッシュに保存される結果テーブルを格納するために匿名データセットが作成されます。クエリを実行するユーザーにのみ、匿名データセットに対する OWNER アクセス権が付与されます。