Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Ruoli e autorizzazioni di base

Panoramica

BigQuery supporta i ruoli di base IAM per l'accesso a livello di progetto.

Ruoli di base per i progetti

Per impostazione predefinita, la concessione dell'accesso a un progetto implica anche l'accesso ai set di dati al suo interno. L'accesso predefinito può essere sostituito per singolo set di dati. La tabella seguente descrive quale accesso viene concesso ai membri dei ruoli IAM di base.

Ruolo di base Competenze
Viewer
  • Può iniziare un job nel progetto. A seconda del tipo di job sono necessari ruoli aggiuntivi.
  • Può elencare e ottenere tutti i job e aggiornare i job avviati per il progetto
  • Se crei un set di dati in un progetto che contiene visualizzatori, BigQuery concede a tali utenti il ruolo predefinito bigquery.dataViewer per il nuovo set di dati.
Editor
  • Uguale a Viewer, più:
    • Può creare un nuovo set di dati nel progetto
    • Se crei un set di dati in un progetto contenente qualsiasi editor, BigQuery concede a tali utenti il ruolo predefinito bigquery.dataEditor per il nuovo set di dati.
Owner
  • Uguale a Editor, più:
    • Può revocare o modificare qualsiasi ruolo del progetto
    • Può elencare tutti i set di dati nel progetto
    • Può eliminare qualsiasi set di dati nel progetto
    • Può elencare e ottenere tutti i job in esecuzione nel progetto, inclusi quelli eseguiti da altri utenti del progetto
    • Se crei un set di dati, BigQuery assegna a tutti i proprietari del progetto il ruolo predefinito bigquery.dataOwner per il nuovo set di dati.

      Eccezione: quando un utente esegue una query, viene creato un set di dati anonimo per memorizzare la tabella dei risultati memorizzati nella cache. Solo l'utente che esegue la query ha accesso OWNER al set di dati anonimo.

I ruoli di base per i progetti vengono concessi o revocati tramite Google Cloud Console. Quando viene creato un progetto, viene concesso il ruolo Owner all'utente che lo ha creato.

Quando BigQuery riceve una chiamata da un'identità (un utente, un gruppo o un account di servizio) a cui è assegnato un ruolo di base, BigQuery lo interpreta come membro di un gruppo speciale. L'appartenenza a un gruppo speciale concede le autorizzazioni di identità assegnate a un ruolo IAM BigQuery. Il seguente grafico identifica il gruppo e il ruolo speciali per ciascun ruolo di base:

Ruolo di base Gruppo assegnato Ruolo BigQuery IAM
roles/viewer access.specialGroup: projectReaders roles/bigquery.dataViewer
roles/editor access.specialGroup: projectWriters roles/bigquery.dataEditor
roles/owner access.specialGroup: projectOwners roles/bigquery.dataOwner

L'accesso speciale ai gruppi è concesso solo al momento della creazione. Per rimuovere o modificare le autorizzazioni in un secondo momento, puoi modificare i criteri IAM del set di dati o gli elenchi di controllo di accesso agli oggetti (ACL).

Per ulteriori informazioni su come concedere o revocare l'accesso ai ruoli di progetto, consulta la sezione Concedere, modificare e revocare l'accesso alle risorse nella documentazione IAM.

Ruoli di base per i set di dati

I seguenti ruoli di base si applicano a livello di set di dati.

Ruolo set di dati Competenze
READER
  • Può leggere, eseguire query, copiare o esportare tabelle nel set di dati. Può leggere le routine nel set di dati.
    • Può chiamare get nel set di dati
    • Può chiamare get ed list nelle tabelle del set di dati
    • Può chiamare get ed elencare le routine nel set di dati
    • Può chiamare list sui dati della tabella per le tabelle nel set di dati
  • Viene associato al ruolo predefinito bigquery.dataViewer
WRITER
  • Uguale a READER, più:
    • Può modificare o aggiungere dati nel set di dati
  • Viene associato al ruolo predefinito bigquery.dataEditor
OWNER
  • Uguale a WRITER, più:
    • Può chiamare update sul set di dati
    • Può chiamare delete sul set di dati
  • Viene associato al ruolo predefinito bigquery.dataOwner

Nota: un set di dati deve avere almeno un'entità con il ruolo OWNER. Un utente con il ruolo OWNER non può rimuovere il proprio ruolo OWNER.

Per ulteriori informazioni sull'assegnazione dei ruoli a livello di set di dati, consulta Controllo dell'accesso ai set di dati.

Quando crei un nuovo set di dati, BigQuery aggiunge l'accesso al set di dati predefinito per le seguenti entità. I ruoli specificati durante la creazione del set di dati sovrascriveno i valori predefiniti.

Entità Ruolo set di dati
Tutti gli utenti con accesso a Viewer al progetto READER
Tutti gli utenti con accesso a Editor al progetto WRITER
Tutti gli utenti con accesso a Owner al progetto
e all'autore del set di dati

OWNER

Eccezione: quando un utente esegue una query, viene creato un set di dati anonimo per memorizzare la tabella dei risultati memorizzati nella cache. Solo l'utente che esegue la query ha accesso OWNER al set di dati anonimo.