Roles y permisos básicos

Descripción general

BigQuery admite los roles básicos de IAM para el acceso a nivel de proyecto.

Roles básicos de los proyectos

Según la configuración predeterminada, la asignación de acceso a un proyecto también otorga acceso a los conjuntos de datos que contenga. El acceso predeterminado puede anularse en cada conjunto de datos. En la siguiente tabla, se describe qué acceso se otorga a los miembros de las funciones básicas de IAM.

Rol básico Funciones
Viewer
  • Puede iniciar un trabajo en el proyecto. Se requieren funciones adicionales del conjunto de datos en función del tipo de trabajo.
  • Puede enumerar y obtener todos los trabajos, y actualizar los trabajos que comenzaron para el proyecto.
  • Si creas un conjunto de datos en un proyecto que contiene visualizadores, BigQuery otorga a esos usuarios el rol predefinido bigquery.dataViewer para el conjunto de datos nuevo.
Editor
  • Igual que Viewer, más las siguientes capacidades:
    • Puede crear un conjunto de datos nuevo en el proyecto.
    • Si creas un conjunto de datos en un proyecto que contiene editores, BigQuery asigna a esos usuarios el ro predeterminado bigquery.dataEditor para el conjunto de datos nuevo.
Owner
  • Igual que Editor, más las siguientes capacidades:
    • Puede revocar o cambiar cualquier rol de proyecto.
    • Puede enumerar todos los conjuntos de datos del proyecto.
    • Puede borrar cualquier conjunto de datos en el proyecto.
    • Puede enumerar y hacer que todos los trabajos se ejecuten en el proyecto, incluidos los trabajos que ejecutan otros usuarios del proyecto.
    • Si creas un conjunto de datos, BigQuery otorga a todos los propietarios del proyecto la función predefinida bigquery.dataOwner para el conjunto de datos nuevo.

      Excepción: Cuando un usuario ejecuta una consulta, se crea un conjunto de datos anónimo para almacenar la tabla de resultados almacenados en caché. El acceso OWNER al conjunto de datos anónimo solo se otorga al usuario que ejecuta la consulta.

Las funciones básicas de los proyectos se otorgan o revocan a través de la consola de Google Cloud. Cuando se crea un proyecto, el rol Owner se otorga al usuario que lo creó.

Si deseas obtener más información para otorgar o revocar el acceso a los roles del proyecto, consulta Otorga, cambia y revoca el acceso a los recursos en la documentación de IAM.

Roles básicos de los conjuntos de datos

Las siguientes funciones básicas se aplican a nivel de conjuntos de datos.

Rol del conjunto de datos Funciones
READER
  • Puede leer, consultar, copiar o exportar tablas en el conjunto de datos. Puede leer rutinas en el conjunto de datos.
    • Puede llamar al comando get en el conjunto de datos.
    • Puede llamar a los comandos get y list en las tablas del conjunto de datos.
    • Puede llamar a los comandos get y list en las rutinas del conjunto de datos.
    • Puede llamar al comando list en los datos de las tablas del conjunto de datos.
WRITER
  • Igual que READER, más las siguientes capacidades:
    • Puede editar o adjuntar datos en el conjunto de datos.
      • Puede llamar a los comandos insert, insertAll, update o delete en las tablas.
      • Puede usar tablas en el conjunto de datos como destinos para trabajos de carga, copia o consulta.
      • Puede llamar a los comandos insert, update o delete en las rutinas.
OWNER
  • Igual que WRITER, más las siguientes capacidades:
    • Puede llamar al comando update en el conjunto de datos.
    • Puede llamar al comando delete en el conjunto de datos.

Nota: Un conjunto de datos debe tener al menos una entidad con el rol OWNER. Un usuario con la función OWNER no puede quitar su propia función OWNER.

Para obtener más información la asignación de funciones a nivel de conjunto de datos, consulta el control de acceso a los conjuntos de datos.

Cuando creas un conjunto de datos nuevo, BigQuery agrega acceso al conjunto de datos predeterminado para las siguientes entidades. Las funciones que especificas en la creación del conjunto de datos reemplazan los valores predeterminados.

Entidad Rol del conjunto de datos
Todos los usuarios que tengan acceso Viewer al proyecto READER
Todos los usuarios que tengan acceso Editor al proyecto WRITER
Todos los usuarios con acceso Owner al proyecto,
y el creador del conjunto de datos

OWNER

Excepción: Cuando un usuario ejecuta una consulta, se crea un conjunto de datos anónimo para almacenar la tabla de resultados almacenados en caché. El acceso OWNER al conjunto de datos anónimo solo se otorga al usuario que ejecuta la consulta.