Einführung in die Sicherheits- und Zugriffssteuerung in BigQuery

Dieses Dokument bietet einen Überblick über die Zugriffssteuerung in BigQuery mit Identity and Access Management (IAM). Mit IAM können Sie detaillierte Zugriffsberechtigungen auf bestimmte BigQuery-Ressourcen gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern. Mit IAM können Sie das Sicherheitsprinzip der geringsten Berechtigung anwenden, das besagt, dass kein IAM-Principal mehr Berechtigungen haben sollte, als er tatsächlich benötigt.

Wenn ein IAM-Hauptkonto wie ein Nutzer, eine Gruppe oder ein Dienstkonto eine Google Cloud API aufruft, muss dieses Hauptkonto die erforderlichen IAM-Mindestberechtigungen für die Verwendung der Ressource haben. Um einem Hauptkonto die erforderlichen Berechtigungen zu gewähren, weisen Sie dem Hauptkonto eine IAM-Rolle zu.

In diesem Dokument wird beschrieben, wie vordefinierte und benutzerdefinierte IAM-Rollen verwendet werden können, um Hauptkonten den Zugriff auf BigQuery-Ressourcen zu ermöglichen.

Informationen zur Verwaltung des Zugriffs in Google Cloudfinden Sie in der IAM-Übersicht.

Arten von IAM-Rollen

Eine Rolle ist eine Sammlung von Berechtigungen, die einem IAM-Principal gewährt werden können. Sie können die folgenden Rollentypen in IAM verwenden, um Zugriff auf BigQuery-Ressourcen zu gewähren:

Mit einer der folgenden Methoden können Sie ermitteln, ob eine oder mehrere Berechtigungen in einer vordefinierten IAM-Rolle enthalten sind:

IAM-Rollen in BigQuery

Berechtigungen werden Nutzern, Gruppen oder Dienstkonten nicht direkt zugewiesen. Stattdessen erhalten Nutzer, Gruppen oder Dienstkonten eine oder mehrere vordefinierte oder benutzerdefinierte Rollen, die ihnen Berechtigungen zum Ausführen von Aktionen für Ressourcen erteilen. Sie gewähren diese Rollen für eine bestimmte Ressource, sie gelten aber auch für alle untergeordneten Ressourcen dieser Ressource in der Ressourcenhierarchie.

Wenn Sie einem Nutzer mehrere Rollentypen zuweisen, werden ihm die Berechtigungen beider Rollen gewährt.

Sie können Zugriff auf die folgenden BigQuery-Ressourcen gewähren:

  • Datasets und die folgenden Ressourcen in Datasets:
    • Tabellen und Ansichten
    • Routinen
  • Verbindungen
  • Gespeicherte Abfragen
  • Daten-Canvasse
  • Datenvorbereitungen
  • Pipelines
  • Repositories

Zugriff auf Resource Manager-Ressourcen gewähren

Sie können den Zugriff auf BigQuery-Ressourcen über Resource Manager konfigurieren, indem Sie einem Prinzipal eine BigQuery-Rolle zuweisen und diese Rolle dann für eine Organisation, einen Ordner oder ein Projekt zuweisen.

Wenn Sie Rollen für Resource Manager-Ressourcen wie Organisationen und Projekte zuweisen, erteilen Sie Berechtigungen für alle BigQuery-Ressourcen in der Organisation oder im Projekt.

Weitere Informationen zum Verwalten des Zugriffs auf Resource Manager-Ressourcen mit IAM finden Sie in der IAM-Dokumentation unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Zugriff auf Datasets gewähren

Sie können Rollen auf Dataset-Ebene zuweisen, um Zugriff auf ein bestimmtes Dataset zu gewähren, ohne vollen Zugriff auf die anderen Projektressourcen zu ermöglichen. In der IAM-Ressourcenhierarchie sind BigQuery-Datasets untergeordnete Ressourcen von Projekten. Weitere Informationen zum Zuweisen von Rollen auf Dataset-Ebene finden Sie unter Zugriff auf Ressourcen mit IAM steuern.

Zugriff auf einzelne Ressourcen in Datasets gewähren

Sie können Rollen Zugriff auf bestimmte Ressourcentypen in Datasets gewähren, ohne vollständigen Zugriff auf die Ressourcen des Datasets zu ermöglichen.

Rollen können auf die folgenden Ressourcen in Datasets angewendet werden:

  • Tabellen und Ansichten
  • Routinen

Weitere Informationen zum Zuweisen von Rollen auf Tabellen-, Ansichts- oder Routineebene finden Sie unter Zugriff auf Ressourcen mit IAM steuern.

Nächste Schritte