Exemplos de controle de acesso

Exemplos de cenários

Os exemplos a seguir envolvem um grupo de cientistas de dados que pertencem a um Grupo do Google chamado AnalystGroup.

Acesso de leitura e gravação a dados em um conjunto

CompanyProject é um projeto que inclui dataset1 e dataset2. AnalystGroup1 é um grupo de cientistas de dados que trabalham somente com dataset1, e AnalystGroup2 é um grupo que só trabalha com dataset2. Eles precisam ter acesso total apenas ao conjunto de dados em que trabalham, incluindo para executar consultas nos dados.

Acesso de leitura e gravação a um conjunto de dados
No conjunto de dados CompanyProject:dataset1 Concede acesso de WRITER do AnalystGroup1 no dataset1. Esse papel mapeia para o papel predefinido do IAM: bigquery.dataEditor.
No conjunto de dados CompanyProject:dataset2 Concede acesso de WRITER do AnalystGroup2 no dataset2. Esse papel mapeia para o papel predefinido do IAM: bigquery.dataEditor.
No projeto CompanyProject Concede acesso de bigquery.user do AnalystGroup1 e AnalystGroup2 no CompanyProject.

Com o acesso WRITER no nível do conjunto de dados, os cientistas de dados podem consultar dados nas tabelas do conjunto, mas não realizar consultas de jobs no projeto. Para isso, os grupos de cientistas de dados precisam ter o papel predefinido para envolvidos no projeto: bigquery.user. O papel bigquery.user concede permissões bigquery.jobs.create.

Como alternativa, é possível adicionar os grupos de cientistas de dados ao papel personalizado do IAM para envolvidos no projeto, que concede permissões bigquery.jobs.create.

Acesso total a dados em um projeto

AnalystGroup é um grupo de cientistas de dados que trabalham no BigQuery, e são responsáveis por todas as facetas do uso dele em um projeto chamado CompanyProject. O grupo prefere que todos os membros tenham acesso de leitura e gravação a todos os dados. Outros grupos da organização trabalham com outros produtos do Cloud Platform, mas ninguém mais interage com o BigQuery. O AnalystGroup não usa outros serviços do Cloud Platform.

Acesso total a dados em um projeto
No projeto CompanyProject Adiciona AnalystGroup ao papel predefinido bigquery.admin.

Acesso total em toda a organização

CompanyA é uma organização que quer que uma pessoa específica, denominada Admin1, seja o administrador de todos os dados do BigQuery em todos os projetos. MonitoringServiceAccount é uma conta de serviço responsável por monitorar o tamanho de todas as tabelas em todos os projetos na organização.

Acesso total em toda a organização
Na organização CompanyA

Se a empresa decidir que MonitoringServiceAccount também precisa ajustar as tabelas que excedem um determinado tamanho e remover dados mais antigos do que um período específico, MonitoringServiceAccount também precisará ser adicionada ao papel predefinido bigquery.user.

Acesso de leitura a dados no mesmo projeto

AnalystGroup é um conjunto de cientistas de dados responsáveis por serviços de análise dentro de um projeto chamado CompanyProject. OperationsServiceAccount é uma conta de serviço responsável pelo carregamento de registros de aplicativos no BigQuery por meio de jobs de carregamento em massa para um conjunto de dados CompanyProject:AppLogs específico. Os analistas não estão autorizados a modificar os registros.

Acesso de leitura a dados no mesmo projeto
No projeto CompanyProject
No conjunto de dados CompanyProject:AppLogs

Acesso de leitura a dados em um projeto diferente

AnalystGroup é um conjunto de cientistas de dados responsáveis por serviços de análise dentro de um projeto chamado CompanyAnalytics. Os dados que eles analisam, no entanto, estão em um projeto separado, chamado CompanyLogs. OperationsServiceAccount é uma conta de serviço responsável pelo carregamento de registros de aplicativos no BigQuery por meio de jobs de carregamento em massa para vários conjuntos de dados no projeto CompanyLogs.

O AnalystGroup só pode ler dados no projeto CompanyLogs e não pode criar armazenamento adicional ou executar jobs de consulta nesse projeto. Em vez disso, os analistas usam o projeto CompanyAnalytics para realizar o trabalho deles e manter a produção dentro do projeto CompanyAnalytics.

Acesso de leitura a dados em um projeto diferente
No projeto CompanyLogs
No projeto CompanyAnalytics
Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Precisa de ajuda? Acesse nossa página de suporte.