Beispiele für die Zugriffssteuerung

Beispielszenarien

Die folgenden Beispiele umfassen eine Gruppe von Data Scientists, die alle zu einer Google-Gruppe namens "AnalystGroup" gehören.

Lese- und Schreibzugriff auf Daten in einem Dataset

CompanyProject ist ein Projekt, das dataset1 und dataset2 umfasst. AnalystGroup1 ist eine Gruppe von Data Scientists, die nur an dataset1 arbeitet, und AnalystGroup2 eine, die nur an dataset2 arbeitet. Die Data Scientists sollten nur auf das Dataset, an dem sie gerade arbeiten, vollen Zugriff haben, einschließlich des Zugriffs auf Abfragen der Daten.

Lese- und Schreibzugriff auf ein Dataset
Auf das Dataset CompanyProject:dataset1 AnalystGroup1 WRITER-Zugriff auf dataset1 gewähren. Diese Rolle ist der vordefinierten IAM-Rolle bigquery.dataEditor zugeordnet.
Auf das Dataset CompanyProject:dataset2 AnalystGroup2 WRITER-Zugriff auf dataset2 gewähren. Diese Rolle ist der vordefinierten IAM-Rolle bigquery.dataEditor zugeordnet.
Auf das Projekt CompanyProject AnalystGroup1 und AnalystGroup2 bigquery.user-Zugriff auf CompanyProject gewähren.

Wenn den Data Scientists WRITER-Zugriff auf Dataset-Ebene erteilt wird, können sie Daten in den Dataset-Tabellen abfragen, ihnen werden jedoch keine Berechtigungen zum Ausführen von Abfragejobs im Projekt erteilt. Damit Abfragejobs für ein Dataset ausgeführt werden können, auf das die Data Scientists Zugriff erhalten haben, muss den Data-Scientist-Gruppen auf Projektebene die vordefinierte Rolle bigquery.user zugeordnet werden. Mit der Rolle bigquery.user werden bigquery.jobs.create-Berechtigungen gewährt.

Alternativ können Sie die Data-Scientist-Gruppen in eine benutzerdefinierte IAM-Rolle auf Projektebene aufnehmen, die die Berechtigungen bigquery.jobs.create gewährt.

Vollzugriff auf Daten in einem Projekt

AnalystGroup ist eine Gruppe von Data Scientists, die mit BigQuery arbeitet und verantwortlich für alle Facetten seiner Verwendung in einem Projekt namens CompanyProject ist. Für die Gruppe ist es am besten, wenn alle Mitglieder Lese- und Schreibzugriff auf alle Daten haben. Andere Gruppen in der Organisation arbeiten mit anderen Google Cloud-Produkten, aber niemand sonst interagiert mit BigQuery. Die AnalystGroup verwendet keine anderen Google Cloud-Dienste.

Vollzugriff auf Daten in einem Projekt
Auf das Projekt CompanyProject AnalystGroup in die vordefinierte Rolle bigquery.admin aufnehmen.

Vollzugriff auf eine Organisation

CompanyA ist eine Organisation, die möchte, dass eine bestimmte Person namens Admin1 zum Administrator für alle BigQuery-Daten in allen ihren Projekten ernannt wird. MonitoringServiceAccount ist ein Dienstkonto, das für die Überwachung der Größe aller Tabellen in allen Projekten der Organisation verantwortlich ist.

Vollzugriff auf eine Organisation
Auf die Organisation CompanyA

Wenn das Unternehmen möchte, dass MonitoringServiceAccount auch Tabellen verkleinert, die eine bestimmte Größe überschreiten, und Daten entfernt, deren Alter eine bestimmten Dauer überschreitet, muss MonitoringServiceAccount in die vordefinierte Rolle bigquery.user aufgenommen werden.

Lesezugriff auf Daten im selben Projekt

AnalystGroup ist eine Gruppe von Data Scientists, die für die Analysedienste in einem Projekt namens CompanyProject zuständig sind. OperationsServiceAccount ist ein Dienstkonto, das für das Laden von Anwendungsprotokollen mithilfe von Bulk-Jobs in ein spezifisches CompanyProject:AppLogs-Dataset zuständig ist. Den Analysten ist es nicht erlaubt, die Protokolle zu bearbeiten.

Lesezugriff auf Daten im selben Projekt
Auf das Projekt CompanyProject
  • OperationsServiceAccount in die vordefinierte Rolle bigquery.user aufnehmen.
  • AnalystGroup in die vordefinierte Rolle bigquery.user aufnehmen.
Auf das Dataset CompanyProject:AppLogs

Lesezugriff auf Daten in einem anderen Projekt

AnalystGroup umfasst eine Reihe von Data Scientists, die für die Analysedienste in einem Projekt namens CompanyProject zuständig sind. Die Daten, die sie analysieren, sind jedoch in einem separaten Projekt namens CompanyLogs abgelegt. OperationsServiceAccount ist ein Dienstkonto, das für das Laden von Anwendungsprotokollen mithilfe von Bulk-Jobs in ein spezifisches CompanyLogs-Projekt zuständig ist.

Die AnalystGroup kann nur die Daten im CompanyLogs-Projekt lesen und keinen zusätzlichen Speicher erstellen oder Abfragejobs im Projekt ausführen. Stattdessen verwenden die Analysten das Projekt CompanyAnalytics, um ihre Arbeit zu erledigen und ihre Ausgabe innerhalb des Projekts CompanyAnalytics zu pflegen.

Lesezugriff auf Daten in einem anderen Projekt
Auf das Projekt CompanyLogs
Auf das Projekt CompanyAnalytics
  • AnalystGroup in die vordefinierte Rolle bigquery.user aufnehmen.

Weitere Informationen

Die folgenden Themen enthalten weitere Informationen zur BigQuery-Zugriffssteuerung.