Einfache Rollen und Berechtigungen

Übersicht

BigQuery unterstützt die einfachen IAM-Rollen für den Zugriff auf Projektebene.

Einfache Rollen für Projekte

Standardmäßig gewährt die Vergabe von Zugriff auf ein Projekt auch Zugriff auf die darin enthaltenen Datasets. Dieser Standardzugriff kann individuell pro Dataset überschrieben werden. In der folgenden Tabelle wird beschrieben, welcher Zugriff Mitgliedern der einfachen IAM-Rollen gewährt wird.

Einfache Rolle	Rechte
`Viewer`	Kann einen Job im Projekt starten. Je nach Jobtyp sind weitere Dataset-Rollen erforderlich. Kann alle Jobs auflisten und abrufen sowie Jobs, die für das Projekt gestartet wurden, aktualisieren. Wenn Sie in einem Projekt, das Betrachter enthält, Datasets erstellen, erhalten diese Nutzer für das neue Dataset von BigQuery die vordefinierte Rolle bigquery.dataViewer.
`Editor`	Wie bei `Viewer`, plus: Kann ein neues Dataset im Projekt erstellen. Wenn Sie in einem Projekt, das Bearbeiter enthält, Datasets erstellen, erhalten diese Nutzer für das neue Dataset von BigQuery die vordefinierte Rolle bigquery.dataEditor.
`Owner`	Wie bei `Editor`, plus: Kann jede Projektrolle widerrufen oder ändern Kann alle Datasets im Projekt auflisten. Kann jedes Dataset im Projekt löschen. Kann alle im Projekt ausgeführten Jobs auflisten und abrufen; einschließlich der Jobs, die von anderen Projektnutzern ausgeführt wurden. Wenn Sie ein Dataset erstellen, erhalten alle Projektinhaber für das neue Dataset von BigQuery die vordefinierte Rolle bigquery.dataOwner. Ausnahme: Wenn ein Nutzer eine Abfrage ausführt, wird ein anonymes Dataset zur Speicherung der im Cache gespeicherten Ergebnistabelle erstellt. Nur der Nutzer, der die Abfrage ausführt, erhält `OWNER`-Zugriff auf das anonyme Dataset.

Einfache Rollen für Projekte werden über die Google Cloud Console gewährt oder entzogen. Bei der Projekterstellung wird dem Nutzer, der das Projekt erstellt hat, die Rolle Owner zugewiesen.

Wenn BigQuery einen Aufruf von einer Identität (entweder einem Nutzer, einer Gruppe oder einem Dienstkonto) erhält, der eine einfache Rolle zugewiesen wurde, interpretiert BigQuery diese einfache Rolle als Mitglied einer speziellen Gruppe. Spezielle Gruppenmitgliedschaft gewährt die Identitätsberechtigungen, die einer BigQuery IAM-Rolle zugewiesen sind. Das folgende Diagramm zeigt die spezielle Gruppe und Rolle für jede einfache Rolle:

Einfache Rolle	Zugewiesene Gruppe	BigQuery-IAM-Rolle
`roles/viewer`	`access.specialGroup: projectReaders`	`roles/bigquery.dataViewer`
`roles/editor`	`access.specialGroup: projectWriters`	`roles/bigquery.dataEditor`
`roles/owner`	`access.specialGroup: projectOwners`	`roles/bigquery.dataOwner`

Spezieller Gruppenzugriff wird nur bei der Erstellung gewährt. Wenn Sie Berechtigungen später entfernen oder ändern möchten, können Sie die IAM-Richtlinien von Datasets oder die Access Control Lists (ACLs) für Objekte bearbeiten.

Weitere Informationen dazu, wie Sie den Zugriff für Projektrollen erteilen oder entziehen, finden Sie in der IAM-Dokumentation unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Einfache Rollen für Datasets

Die folgenden einfachen Rollen gelten auf Dataset-Ebene:

Dataset-Rolle Rechte

Dataset-Rolle	Rechte
`READER`	Kann Tabellen im Dataset lesen, abfragen, kopieren oder exportieren Kann Routinen im Dataset lesen Kann für das Dataset get aufrufen Kann für Tabellen im Dataset get und list aufrufen. Kann für Routinen im Dataset get und list aufrufen. Kann für Tabellen im Dataset für Tabellendaten list aufrufen. Zuordnung zur vordefinierten Rolle `bigquery.dataViewer`
`WRITER`	Wie bei `READER`, plus: Kann Daten im Dataset bearbeiten oder anhängen. Kann für Tabellen insert, insertAll, update oder delete aufrufen Kann Tabellen im Dataset als Ziele für Lade-, Kopier- oder Abfragejobs verwenden. Kann für Routinen insert, update, oder delete aufrufen Zuordnung zur vordefinierten Rolle `bigquery.dataEditor`
`OWNER`	Wie bei `WRITER`, plus: Kann für das Dataset update aufrufen. Kann für das Dataset delete aufrufen. Zuordnung zur vordefinierten Rolle `bigquery.dataOwner` Hinweis: Datasets müssen mindestens eine Entität mit der Rolle `OWNER` haben. Ein Nutzer mit der Rolle `OWNER` kann die eigene `OWNER`-Rolle nicht entfernen.

READER

Kann Tabellen im Dataset lesen, abfragen, kopieren oder exportieren Kann Routinen im Dataset lesen
- Kann für das Dataset get aufrufen
- Kann für Tabellen im Dataset get und list aufrufen.
- Kann für Routinen im Dataset get und list aufrufen.
- Kann für Tabellen im Dataset für Tabellendaten list aufrufen.
Zuordnung zur vordefinierten Rolle bigquery.dataViewer

WRITER

Wie bei READER, plus:
- Kann Daten im Dataset bearbeiten oder anhängen.
  - Kann für Tabellen insert, insertAll, update oder delete aufrufen
  - Kann Tabellen im Dataset als Ziele für Lade-, Kopier- oder Abfragejobs verwenden.
  - Kann für Routinen insert, update, oder delete aufrufen
Zuordnung zur vordefinierten Rolle bigquery.dataEditor

OWNER

Wie bei WRITER, plus:
- Kann für das Dataset update aufrufen.
- Kann für das Dataset delete aufrufen.
Zuordnung zur vordefinierten Rolle bigquery.dataOwner

Hinweis: Datasets müssen mindestens eine Entität mit der Rolle OWNER haben. Ein Nutzer mit der Rolle OWNER kann die eigene OWNER-Rolle nicht entfernen.

Mehr zum Zuweisen von Rollen auf Dataset-Ebene finden Sie unter Zugriff auf Datasets steuern.

Beim Erstellen eines neuen Datasets fügt BigQuery den folgenden Entitäten Standard-Dataset-Zugriff hinzu. Rollen, die bei der Dataset-Erstellung angegeben werden, überschreiben die Standardwerte.

Entität Dataset-Rolle

Alle Nutzer mit Viewer-Zugriff auf das Projekt READER

Alle Nutzer mit Editor-Zugriff auf das Projekt WRITER

Entität	Dataset-Rolle
Alle Nutzer mit `Viewer`-Zugriff auf das Projekt	`READER`
Alle Nutzer mit `Editor`-Zugriff auf das Projekt	`WRITER`
Alle Nutzer mit `Owner`-Zugriff auf das Projekt und den Dataset-Ersteller	`OWNER` Ausnahme: Wenn ein Nutzer eine Abfrage ausführt, wird ein anonymes Dataset zur Speicherung der im Cache gespeicherten Ergebnistabelle erstellt. Nur der Nutzer, der die Abfrage ausführt, erhält `OWNER`-Zugriff auf das anonyme Dataset.

Alle Nutzer mit Owner-Zugriff auf das Projekt
und den Dataset-Ersteller

OWNER

Ausnahme: Wenn ein Nutzer eine Abfrage ausführt, wird ein anonymes Dataset zur Speicherung der im Cache gespeicherten Ergebnistabelle erstellt. Nur der Nutzer, der die Abfrage ausführt, erhält OWNER-Zugriff auf das anonyme Dataset.