Exemplos de controle de acesso

Exemplos de cenários

Os exemplos a seguir envolvem um grupo de cientistas de dados que pertencem a um Grupo do Google chamado AnalystGroup.

Acesso de leitura e gravação a dados em um conjunto

CompanyProject é um projeto que inclui dataset1 e dataset2. AnalystGroup1 é um grupo de cientistas de dados que trabalham somente com dataset1, e AnalystGroup2 é um grupo que só trabalha com dataset2. Eles precisam ter acesso total apenas ao conjunto de dados em que trabalham, incluindo para executar consultas nos dados.

Acesso de leitura e gravação a um conjunto de dados
No conjunto de dados CompanyProject:dataset1 Concede acesso de WRITER do AnalystGroup1 no dataset1. Esse papel é mapeado para aquele predefinido do IAM: bigquery.dataEditor.
No conjunto de dados CompanyProject:dataset2 Concede acesso de WRITER do AnalystGroup2 no dataset2. Esse papel é mapeado para aquele predefinido do IAM: bigquery.dataEditor.
No projeto CompanyProject Concede acesso de bigquery.user do AnalystGroup1 e AnalystGroup2 no CompanyProject.

O acesso WRITER no nível do conjunto de dados permite que os cientistas de dados consultem dados nas tabelas do conjunto. No entanto, não podem realizar consultas de jobs no projeto. Para isso, os grupos de cientistas de dados precisam ter o papel predefinido para envolvidos no projeto: bigquery.user. O papel bigquery.user concede permissões bigquery.jobs.create.

Como alternativa, é possível adicionar os grupos de cientistas de dados ao papel personalizado do IAM para envolvidos no projeto, que concede permissões bigquery.jobs.create.

Acesso total a dados em um projeto

AnalystGroup é um grupo de cientistas de dados que trabalham no BigQuery, e são responsáveis por todas as facetas do uso dele em um projeto chamado CompanyProject. O grupo prefere que todos os membros tenham acesso de leitura e gravação a todos os dados. Outros grupos na organização trabalham com outros produtos do Google Cloud, mas ninguém mais interage com o BigQuery. O AnalystGroup não usa outros serviços do Google Cloud.

Acesso total a dados em um projeto
No projeto CompanyProject Adicione AnalystGroup ao papel predefinido bigquery.admin.

Acesso total em toda a organização

CompanyA é uma organização que quer que uma pessoa específica, denominada Admin1, seja o administrador de todos os dados do BigQuery em todos os projetos. MonitoringServiceAccount é uma conta de serviço responsável por monitorar o tamanho de todas as tabelas em todos os projetos na organização.

Acesso total em toda a organização
Na organização CompanyA

Se a empresa decidir que MonitoringServiceAccount também precisa cortar o tamanho das tabelas que excedem um determinado tamanho e remover dados anteriores a um período específico, MonitoringServiceAccount precisará ser adicionado ao papel predefinido bigquery.user.

Acesso de leitura a dados no mesmo projeto

AnalystGroup é um conjunto de cientistas de dados responsáveis por serviços de análise dentro de um projeto chamado CompanyProject. OperationsServiceAccount é uma conta de serviço responsável por carregar registros de aplicativos no BigQuery usando jobs de carregamento em massa para um conjunto de dados CompanyProject:AppLogs específico. Os analistas não estão autorizados a modificar os registros.

Acesso de leitura a dados no mesmo projeto
No projeto CompanyProject
No conjunto de dados CompanyProject:AppLogs

Acesso de leitura a dados em um projeto diferente

AnalystGroup é um conjunto de cientistas de dados responsáveis por serviços de análise dentro de um projeto chamado CompanyAnalytics. Os dados que eles analisam, no entanto, estão em um projeto separado, chamado CompanyLogs. OperationsServiceAccount é uma conta de serviço responsável por carregar registros de aplicativos no BigQuery usando jobs de carregamento em massa para uma variedade de conjuntos de dados no projeto CompanyLogs.

O AnalystGroup só pode ler dados no projeto CompanyLogs e não é capaz de criar armazenamento extra ou executar jobs de consulta nesse projeto. Em vez disso, os analistas usam o projeto CompanyAnalytics para realizar o trabalho deles e manter a produção dentro do projeto CompanyAnalytics.

Acesso de leitura a dados em um projeto diferente
No projeto CompanyLogs
No projeto CompanyAnalytics

Mais informações

Os tópicos a seguir fornecem mais informações sobre o controle de acesso do BigQuery.