Einführung in Sicherheit und Zugriffssteuerung in BigQuery

In diesem Dokument finden Sie einen Überblick über die Zugriffssteuerung in BigQuery mithilfe von Identity and Access Management (IAM). Mit IAM können Sie detaillierte Zugriffsberechtigungen auf bestimmte BigQuery-Ressourcen gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern. Mit IAM können Sie das Sicherheitsprinzip der geringsten Berechtigung anwenden, das besagt, dass kein IAM-Subjekt mehr Berechtigungen haben sollte, als es tatsächlich benötigt.

Wenn ein IAM-Hauptkonto wie ein Nutzer, eine Gruppe oder ein Dienstkonto eine Google Cloud API aufruft, muss dieses Hauptkonto die erforderlichen IAM-Berechtigungen für die Verwendung der Ressource haben. Um einem Hauptkonto die erforderlichen Berechtigungen zu gewähren, weisen Sie dem Hauptkonto eine IAM-Rolle zu.

In diesem Dokument wird beschrieben, wie Sie vordefinierte und benutzerdefinierte IAM-Rollen verwenden können, um Hauptkonten den Zugriff auf BigQuery-Ressourcen zu ermöglichen.

Weitere Informationen zur Verwaltung des Zugriffs in Google Cloudfinden Sie in der IAM-Übersicht.

Arten von IAM-Rollen

Eine Rolle ist eine Sammlung von Berechtigungen, die einem IAM-Subjekt gewährt werden können. Sie können die folgenden Rollentypen in IAM verwenden, um Zugriff auf BigQuery-Ressourcen zu gewähren:

Mit einer der folgenden Methoden können Sie ermitteln, ob eine oder mehrere Berechtigungen in einer vordefinierten IAM-Rolle enthalten sind:

IAM-Rollen in BigQuery

Berechtigungen werden Nutzern, Gruppen oder Dienstkonten nicht direkt zugewiesen. Stattdessen erhalten Nutzer, Gruppen oder Dienstkonten eine oder mehrere vordefinierte oder benutzerdefinierte Rollen, die ihnen Berechtigungen zum Ausführen von Aktionen für Ressourcen gewähren. Sie gewähren diese Rollen für eine bestimmte Ressource, sie gelten aber auch für alle untergeordneten Ressourcen dieser Ressource in der Ressourcenhierarchie.

Wenn Sie einem Nutzer mehrere Rollentypen zuweisen, werden ihm die Berechtigungen beider Rollen gewährt.

Sie können Zugriff auf die folgenden BigQuery-Ressourcen gewähren:

  • Datasets und die folgenden Ressourcen in Datasets:
    • Tabellen und Ansichten
    • Routinen
  • Verbindungen
  • Gespeicherte Abfragen
  • Daten-Canvasse
  • Datenvorbereitungen
  • Pipelines
  • Repositories

Zugriff auf Resource Manager-Ressourcen gewähren

Sie können den Zugriff auf BigQuery-Ressourcen über Resource Manager konfigurieren, indem Sie einem Prinzipal eine BigQuery-Rolle zuweisen und diese Rolle dann einer Organisation, einem Ordner oder einem Projekt zuweisen.

Wenn Sie Resource Manager-Ressourcen wie Organisationen und Projekten Rollen zuweisen, gewähren Sie Berechtigungen für alle BigQuery-Ressourcen in der Organisation oder im Projekt.

Weitere Informationen zum Verwalten des Zugriffs auf Resource Manager-Ressourcen mit IAM finden Sie in der IAM-Dokumentation unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Zugriff auf Datasets gewähren

Sie können Rollen auf Dataset-Ebene zuweisen, um Zugriff auf ein bestimmtes Dataset zu gewähren, ohne vollen Zugriff auf die anderen Projektressourcen zu ermöglichen. In der IAM-Ressourcenhierarchie sind die Datasets die untergeordneten Ressourcen von Projekten. Weitere Informationen zum Zuweisen von Rollen auf Dataset-Ebene finden Sie unter Zugriff auf Ressourcen mit IAM steuern.

Zugriff auf einzelne Ressourcen in Datasets gewähren

Sie können Rollen Zugriff auf bestimmte Ressourcentypen in Datasets gewähren, ohne vollständigen Zugriff auf die Ressourcen des Datasets zu gewähren.

Rollen können auf die folgenden Ressourcen in Datasets angewendet werden:

  • Tabellen und Ansichten
  • Routinen

Weitere Informationen zum Zuweisen von Rollen auf Tabellen-, Ansichts- oder Routineebene finden Sie unter Zugriff auf Ressourcen mit IAM steuern.

Nächste Schritte