Exemples de contrôle d'accès

Exemples de cas de figure

Les exemples suivants impliquent un groupe de data scientists appartenant tous à un groupe Google nommé AnalystGroup.

Accès en lecture et en écriture aux données d'un ensemble de données

CompanyProject est un projet qui comprend les ensembles de données dataset1 et dataset2. AnalystGroup1 est un groupe de data scientists qui travaille uniquement sur l'ensemble de données dataset1. Le groupe AnalystGroup2 ne travaille que sur l'ensemble de données dataset2. Les data scientists doivent uniquement disposer d'un accès complet à l'ensemble de données sur lequel ils travaillent, y compris pour exécuter des requêtes sur les données.

Accès en lecture et en écriture à un ensemble de données
Dans l'ensemble de données CompanyProject:dataset1 Accordez au groupe AnalystGroup1 l'accès WRITER pour l'ensemble de données dataset1. Ce rôle correspond au rôle IAM prédéfini bigquery.dataEditor.
Dans l'ensemble de données CompanyProject:dataset2 Accordez au groupe AnalystGroup2 l'accès WRITER pour l'ensemble de données dataset2. Ce rôle correspond au rôle IAM prédéfini bigquery.dataEditor.
Dans le projet CompanyProject Accordez aux groupes AnalystGroup1 et AnalystGroup2 l'accès bigquery.user pour le projet CompanyProject.

Les data scientists qui disposent de l'accès WRITER au niveau de l'ensemble de données peuvent interroger les données dans les tables de l'ensemble de données, mais ils ne peuvent pas exécuter des tâches de requête dans le projet. Pour pouvoir exécuter des tâches de requête sur un ensemble de données auquel ils ont accès, les groupes de data scientists doivent disposer du rôle prédéfini bigquery.user au niveau du projet. Le rôle bigquery.user accorde les autorisations bigquery.jobs.create.

Vous pouvez également attribuer aux groupes de data scientists un rôle IAM personnalisé au niveau du projet afin de leur accorder des autorisations bigquery.jobs.create.

Accès complet aux données d'un projet

AnalystGroup est un groupe de data scientists qui travaille sur BigQuery et qui est responsable de l'ensemble des aspects de son utilisation dans un projet nommé CompanyProject. Le groupe préfère que tous les membres disposent d'un accès en lecture et en écriture à l'ensemble des données. D'autres groupes de l'organisation travaillent avec d'autres produits Cloud Platform, mais personne n'interagit avec BigQuery. AnalystGroup n'utilise aucun autre service Cloud Platform.

Accès complet aux données d'un projet
Dans le projet CompanyProject Attribuez le rôle prédéfini bigquery.admin au groupe AnalystGroup.

Accès complet au sein d'une organisation

CompanyA est une organisation qui souhaite qu'une personne spécifique, nommée Admin1, soit l'administrateur de toutes les données BigQuery sur l'ensemble de ses projets. MonitoringServiceAccount est un compte de service chargé de surveiller la taille de toutes les tables de l'ensemble des projets de l'organisation.

Accès complet au sein d'une organisation
Dans l'organisation CompanyA

Si l'entreprise décide que MonitoringServiceAccount doit également réduire la taille des tables qui dépassent une certaine limite et supprimer les données antérieures à une période donnée, elle doit attribuer à MonitoringServiceAccount le rôle prédéfini bigquery.user.

Accès en lecture aux données d'un même projet

AnalystGroup est un groupe de data scientists chargé des services d'analyse au sein d'un projet nommé CompanyProject. OperationsServiceAccount est un compte de service qui doit charger les journaux d'application dans BigQuery à l'aide de tâches de chargement groupées sur un ensemble de données CompanyProject:AppLogs particulier. Les analystes ne sont pas autorisés à modifier les journaux.

Accès en lecture aux données d'un même projet
Dans le projet CompanyProject
  • Attribuez le rôle prédéfini bigquery.user à OperationsServiceAccount.
  • Attribuez le rôle prédéfini bigquery.user au groupe AnalystGroup.
Dans l'ensemble de données CompanyProject:AppLogs

Accès en lecture aux données d'un projet différent

AnalystGroup est un groupe de data scientists chargé des services d'analyse au sein d'un projet nommé CompanyAnalytics. Les données analysées se trouvent, elles, dans un projet distinct nommé CompanyLogs. OperationsServiceAccount est un compte de service qui doit charger les journaux d'application dans BigQuery à l'aide de tâches de chargement groupées sur plusieurs ensembles de données du projet CompanyLogs.

AnalystGroup peut uniquement lire les données du projet CompanyLogs. Il ne peut ni créer d'espace de stockage supplémentaire, ni exécuter de tâches de requête dans ce projet. Les analystes préfèrent utiliser le projet CompanyAnalytics pour effectuer leurs opérations et conserver leurs résultats.

Accès en lecture aux données d'un projet différent
Dans le projet CompanyLogs
Dans le projet CompanyAnalytics
  • Attribuez le rôle prédéfini bigquery.user au groupe AnalystGroup.
Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Besoin d'aide ? Consultez notre page d'assistance.