Permissões e papéis básicos

Visão geral

O BigQuery é compatível com os papéis básicos do IAM para acesso dos envolvidos no projeto.

Papéis básicos para projetos

Por padrão, quando um projeto é acessado, também é possível acessar conjuntos de dados dentro dele. O acesso padrão pode ser substituído com base no conjunto de dados. A tabela a seguir descreve qual acesso é concedido aos membros dos papéis básicos do IAM.

Papel básico	Recursos
`Viewer`	Pode executar um job no projeto. Papéis de conjuntos de dados adicionais são necessários, dependendo do tipo de job. Pode listar e receber todos os jobs, e atualizar os jobs iniciados para o projeto. Se você criar um conjunto de dados em um projeto que contenha qualquer visualizador, o BigQuery concederá a esse usuário o papel predefinido bigquery.dataViewer para esse novo conjunto.
`Editor`	Os mesmos recursos que `Viewer`, além destes: Pode criar um novo conjunto de dados no projeto. Se você criar um conjunto de dados em um projeto que contenha qualquer editor, o BigQuery concederá a esse usuário o papel predefinido bigquery.dataEditor para esse novo conjunto.
`Owner`	Os mesmos recursos que `Editor`, além destes: Pode revogar ou alterar qualquer papel do projeto Pode listar todos os conjuntos de dados do projeto. Pode excluir qualquer conjunto de dados do projeto. Pode listar e receber todos os jobs executados no projeto, incluindo aqueles executados por outros usuários. Se você criar um conjunto de dados, o BigQuery concederá a todos os proprietários do projeto o papel predefinido bigquery.dataOwner para esse novo conjunto. Exceção: quando um usuário executa uma consulta, um conjunto de dados anônimo é criado para armazenar a tabela de resultados em cache. Somente o usuário que executa a consulta recebe acesso `OWNER` ao conjunto de dados anônimo.

Papéis básicos para projetos são concedidos ou revogados por meio do Console do Google Cloud. Quando um projeto é criado, o papel Owner é concedido ao usuário que criou o projeto.

Quando o BigQuery recebe uma chamada de uma identidade (de usuário, grupo ou conta de serviço) com um papel básico, ele o interpreta como membro de um grupo especial. A associação ao grupo especial concede as permissões de identidade atribuídas a um papel de IAM do BigQuery. A tabela a seguir identifica o grupo especial e o papel para cada papel básico:

Papel básico	Grupo atribuído	Papel de IAM do BigQuery
`roles/viewer`	`access.specialGroup: projectReaders`	`roles/bigquery.dataViewer`
`roles/editor`	`access.specialGroup: projectWriters`	`roles/bigquery.dataEditor`
`roles/owner`	`access.specialGroup: projectOwners`	`roles/bigquery.dataOwner`

O acesso especial ao grupo só é concedido no momento da criação. Para remover ou alterar permissões posteriormente, você pode editar as políticas de IAM do conjunto de dados ou as listas de controle de acesso (ACLs) de objetos.

Para mais informações sobre como conceder ou revogar acesso a papéis do projeto, consulte Como conceder, alterar e revogar o acesso a recursos na documentação do IAM.

Papéis básicos para conjuntos de dados

Os papéis básicos a seguir se aplicam ao nível do conjunto de dados.

Papel no conjunto de dados Recursos

Papel no conjunto de dados	Recursos
`READER`	Pode ler, consultar, copiar ou exportar tabelas no conjunto de dados. Pode ler rotinas no conjunto de dados. Pode chamar get no conjunto de dados. Pode chamar get e list nas tabelas do conjunto de dados. Pode chamar get e list nas rotinas no conjunto de dados. Pode chamar list nos dados de tabelas no conjunto de dados. Realiza o mapeamento para o papel predefinido `bigquery.dataViewer`.
`WRITER`	Os mesmos recursos que `READER`, além destes: Pode editar ou acrescentar dados no conjunto de dados. Pode chamar insert, insertAll, update ou delete nas tabelas. Pode usar tabelas no conjunto de dados como destinos para jobs de carregamento, cópia ou consulta. Pode chamar insert, update ou delete nas rotinas. Realiza o mapeamento para o papel predefinido `bigquery.dataEditor`.
`OWNER`	Os mesmos recursos que `WRITER`, além destes: Pode executar update no conjunto de dados. Pode chamar delete no conjunto de dados. Realiza o mapeamento para o papel predefinido `bigquery.dataOwner`. Observação: um conjunto de dados precisa ter, pelo menos, uma entidade com o papel `OWNER`. Um usuário com o papel `OWNER` não pode remover o próprio papel `OWNER`.

READER

Pode ler, consultar, copiar ou exportar tabelas no conjunto de dados. Pode ler rotinas no conjunto de dados.
- Pode chamar get no conjunto de dados.
- Pode chamar get e list nas tabelas do conjunto de dados.
- Pode chamar get e list nas rotinas no conjunto de dados.
- Pode chamar list nos dados de tabelas no conjunto de dados.
Realiza o mapeamento para o papel predefinido bigquery.dataViewer.

WRITER

Os mesmos recursos que READER, além destes:
- Pode editar ou acrescentar dados no conjunto de dados.
  - Pode chamar insert, insertAll, update ou delete nas tabelas.
  - Pode usar tabelas no conjunto de dados como destinos para jobs de carregamento, cópia ou consulta.
  - Pode chamar insert, update ou delete nas rotinas.
Realiza o mapeamento para o papel predefinido bigquery.dataEditor.

OWNER

Os mesmos recursos que WRITER, além destes:
- Pode executar update no conjunto de dados.
- Pode chamar delete no conjunto de dados.
Realiza o mapeamento para o papel predefinido bigquery.dataOwner.

Observação: um conjunto de dados precisa ter, pelo menos, uma entidade com o papel OWNER. Um usuário com o papel OWNER não pode remover o próprio papel OWNER.

Para mais informações sobre como atribuir papéis no nível do conjunto de dados, consulte Como controlar o acesso a conjuntos de dados.

Quando você cria um novo conjunto de dados, o BigQuery adiciona o acesso padrão a esse conjunto para as seguintes entidades: Os papéis especificados na criação do conjunto de dados substituem os valores padrão.

Entidade Papel no conjunto de dados

Todos os usuários com acesso Viewer ao projeto READER

Todos os usuários com acesso Editor ao projeto WRITER

Entidade	Papel no conjunto de dados
Todos os usuários com acesso `Viewer` ao projeto	`READER`
Todos os usuários com acesso `Editor` ao projeto	`WRITER`
Todos os usuários com acesso `Owner` ao projeto, e criador do conjunto de dados	`OWNER` Exceção: quando um usuário executa uma consulta, um conjunto de dados anônimo é criado para armazenar a tabela de resultados em cache. Somente o usuário que executa a consulta recebe acesso `OWNER` ao conjunto de dados anônimo.

Todos os usuários com acesso Owner ao projeto,
e criador do conjunto de dados

OWNER

Exceção: quando um usuário executa uma consulta, um conjunto de dados anônimo é criado para armazenar a tabela de resultados em cache. Somente o usuário que executa a consulta recebe acesso OWNER ao conjunto de dados anônimo.