存取權控管設定範例

範例情境

以下範例中的多位數據資料學家隸屬於名為「AnalystGroup」的 Google 群組

資料集資料的讀取和寫入權限

CompanyProject 是含有 dataset1 和 dataset2 的專案。AnalystGroup1 是一群只使用 dataset1 的數據資料學家,而 AnalystGroup2 這群數據資料學家只使用 dataset2。數據資料學家應該只對他們使用的資料集擁有完整存取權,包括對資料執行查詢的存取權。

資料集的讀取和寫入權限
對資料集 CompanyProject:dataset1 的權限 授予對 dataset1 的 AnalystGroup1 WRITER 存取權。這個角色對應至預先定義的 IAM 角色:bigquery.dataEditor
對資料集 CompanyProject:dataset2 的權限 授予對 dataset2 的 AnalystGroup2 WRITER 存取權。這個角色對應至預先定義的 IAM 角色:bigquery.dataEditor
對專案 CompanyProject 的權限 授予對 CompanyProject 的 AnalystGroup1 和 AnalystGroup2 bigquery.user 存取權。

提供數據資料學家在資料集層級的 WRITER 權限,讓他們能在資料集中查詢資料表的資料,但無權在專案中執行查詢工作。如要對已取得相關存取權的資料集執行查詢工作,數據資料學家群組必須取得專案層級的預先定義角色:bigquery.userbigquery.user 角色會授予 bigquery.jobs.create 權限。

您也可以將數據資料學家群組加入可授予 bigquery.jobs.create 權限的專案層級 IAM 自訂角色

專案資料的完整存取權

AnalystGroup 是一群使用 BigQuery 的數據資料學家,在名為「CompanyProject」的專案中負責處理 BigQuery 的所有使用情形。這個群組希望所有成員都具備所有資料的讀取和寫入權限。機構中的其他群組會使用其他 Cloud Platform 產品,但沒有任何其他使用者會與 BigQuery 互動。AnalystGroup 不會使用任何其他 Cloud Platform 服務。

專案資料的完整存取權
對專案 CompanyProject 的權限 將 AnalystGroup 新增至預先定義的角色:bigquery.admin

在機構中的完整存取權

「CompanyA」這個機構希望名為「Admin1」的特定人員成為管理員,負責管理旗下所有專案中的所有 BigQuery 資料。MonitoringServiceAccount 是一種服務帳戶,負責監控機構中所有專案內的所有資料表大小。

在機構中的完整存取權
對機構 CompanyA 的權限

如果公司決定 MonitoringServiceAccount 也應修剪超出特定大小的資料表大小,並移除在特定時間範圍之前的資料,則必須將 MonitoringServiceAccount 新增至預先定義的角色:bigquery.user

相同專案中的資料讀取權限

AnalystGroup 是一組數據資料學家,負責名稱為 CompanyProject 的專案中的分析服務。OperationsServiceAccount 是一個服務帳戶,負責藉由特定 CompanyProject:AppLogs 資料集的大量載入工作,將應用程式紀錄載入 BigQuery。這些分析師無權修改紀錄。

相同專案中的資料讀取權限
對專案 CompanyProject 的權限
  • 將 OperationsServiceAccount 新增至預先定義的角色:bigquery.user
  • 將 AnalystGroup 新增至預先定義的角色:bigquery.user
對資料集 CompanyProject:AppLogs 的權限

不同專案中的資料讀取權限

AnalystGroup 是一組數據資料學家,負責名稱為 CompanyAnalytics 的專案中的分析服務。但他們分析的資料會存放在另一個名稱為 CompanyLogs 的專案中。OperationsServiceAccount 是一個服務帳戶,負責藉由 CompanyLogs 專案中各種資料集的大量載入工作,將應用程式紀錄載入 BigQuery。

AnalystGroup 只能讀取 CompanyLogs 專案中的資料,無法建立其他儲存空間或在該專案中執行任何查詢工作。因此,這些分析師改用專案 CompanyAnalytics 來執行工作,並在 CompanyAnalytics 專案中維護他們的工作輸出。

不同專案中的資料讀取權限
對專案 CompanyLogs 的權限
對專案 CompanyAnalytics 的權限
  • 將 AnalystGroup 新增至預先定義的角色:bigquery.user
本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
需要協助嗎?請前往我們的支援網頁