Permissões e papéis básicos

Informações gerais

O BigQuery dá suporte aos papéis básicos do IAM para o acesso dos envolvidos no projeto.

Papéis básicos para projetos

Por padrão, quando um projeto é acessado, também é possível acessar conjuntos de dados dentro dele. O acesso padrão pode ser substituído com base no conjunto de dados. A tabela a seguir descreve qual acesso é concedido aos membros dos papéis básicos do IAM.

Papel básico Recursos
Viewer
  • Pode executar um job no projeto. Papéis de conjuntos de dados adicionais são necessários, dependendo do tipo de job.
  • Pode listar e receber todos os jobs, e atualizar os jobs iniciados para o projeto.
  • Se você criar um conjunto de dados em um projeto que contenha qualquer visualizador, o BigQuery concederá a esse usuário o papel predefinido bigquery.dataViewer para esse novo conjunto.
Editor
  • Os mesmos recursos que Viewer, além destes:
    • Pode criar um novo conjunto de dados no projeto.
    • Se você criar um conjunto de dados em um projeto que contenha qualquer editor, o BigQuery concederá a esse usuário o papel predefinido bigquery.dataEditor para esse novo conjunto.
Owner
  • Os mesmos recursos que Editor, além destes:
    • Pode revogar ou alterar qualquer papel do projeto
    • Pode listar todos os conjuntos de dados do projeto.
    • Pode excluir qualquer conjunto de dados do projeto.
    • Pode listar e receber todos os jobs executados no projeto, incluindo aqueles executados por outros usuários.
    • Se você criar um conjunto de dados, o BigQuery concederá a todos os proprietários do projeto o papel predefinido bigquery.dataOwner para esse novo conjunto.

      Exceção: quando um usuário executa uma consulta, um conjunto de dados anônimo é criado para armazenar a tabela de resultados em cache. Somente o usuário que executa a consulta recebe acesso OWNER ao conjunto de dados anônimo.

Papéis básicos para projetos são concedidos ou revogados por meio do Console do Google Cloud. Quando um projeto é criado, o papel Owner é concedido ao usuário que o criou.

Para mais informações sobre como conceder ou revogar acesso a papéis do projeto, consulte Como conceder, alterar e revogar o acesso a recursos na documentação do IAM.

Papéis básicos para conjuntos de dados

Os papéis básicos a seguir se aplicam ao nível do conjunto de dados.

Papel no conjunto de dados Recursos
READER
  • Pode ler, consultar, copiar ou exportar tabelas no conjunto de dados. Pode ler rotinas no conjunto de dados.
    • Pode chamar get no conjunto de dados.
    • Pode chamar get e list nas tabelas do conjunto de dados.
    • Pode chamar get e list nas rotinas no conjunto de dados.
    • Pode chamar list nos dados de tabelas no conjunto de dados.
WRITER
  • O mesmo que READER, além de:
    • Pode editar ou acrescentar dados no conjunto de dados.
OWNER
  • O mesmo que WRITER, além de:
    • Pode executar update no conjunto de dados.
    • Pode chamar delete no conjunto de dados.

Observação: um conjunto de dados precisa ter, pelo menos, uma entidade com o papel OWNER. Um usuário com o papel OWNER não pode remover o próprio papel OWNER.

Para mais informações sobre como atribuir papéis no nível do conjunto de dados, consulte Como controlar o acesso a conjuntos de dados.

Quando você cria um novo conjunto de dados, o BigQuery adiciona o acesso padrão a esse conjunto para as seguintes entidades: Os papéis especificados na criação do conjunto de dados substituem os valores padrão.

Entidade Papel no conjunto de dados
Todos os usuários com acesso Viewer ao projeto READER
Todos os usuários com acesso Editor ao projeto WRITER
Todos os usuários com acesso Owner ao projeto,
e criador do conjunto de dados

OWNER

Exceção: quando um usuário executa uma consulta, um conjunto de dados anônimo é criado para armazenar a tabela de resultados em cache. Somente o usuário que executa a consulta recebe acesso OWNER ao conjunto de dados anônimo.