Esta página se ha traducido con Cloud Translation API.

Introducción a la seguridad y los controles de acceso en BigQuery

En este documento se ofrece una descripción general de los controles de acceso de BigQuery mediante Gestión de Identidades y Accesos (IAM). Gestión de identidades y accesos te permite conceder acceso granular a recursos específicos de BigQuery y ayuda a evitar el acceso a otros recursos. IAM te ayuda a aplicar el principio de seguridad de los mínimos accesos, que establece que ningún principal de IAM debe tener más permisos de los que realmente necesita.

Cuando una entidad principal de gestión de identidades y accesos, como un usuario, un grupo o una cuenta de servicio, llama a una API Google Cloud , debe tener los permisos de gestión de identidades y accesos mínimos necesarios para usar el recurso. Para dar a una entidad principal los permisos necesarios, debes concederle un rol de gestión de identidades y accesos.

En este documento se describe cómo se pueden usar los roles de gestión de identidades y accesos predefinidos y personalizados para permitir que las entidades accedan a los recursos de BigQuery.

Para familiarizarte con la gestión de accesos en Google Cloud, consulta la información general sobre la gestión de identidades y accesos.

Tipos de roles de gestión de identidades y accesos

Un rol es un conjunto de permisos que se pueden conceder a una entidad de gestión de identidades y accesos. Puedes usar los siguientes tipos de roles de gestión de identidades y accesos para conceder acceso a los recursos de BigQuery:

Los roles predefinidos los gestiona Google Cloud y admiten casos prácticos y patrones de control de acceso habituales.
Los roles personalizados proporcionan acceso según una lista de permisos especificada por el usuario. Para obtener información sobre cómo crear roles personalizados, consulta el artículo Crear y gestionar roles personalizados de la documentación de IAM.

Para determinar si uno o varios permisos están incluidos en un rol de gestión de identidades y accesos predefinido, puede usar uno de los siguientes métodos:

Referencia de los roles y permisos de gestión de identidades y accesos de BigQuery
El índice de roles y permisos de gestión de identidades y accesos
Comando gcloud iam roles describe
El método roles.get() de la API IAM

Roles de gestión de identidades y accesos en BigQuery

Los permisos no se asignan directamente a usuarios, grupos ni cuentas de servicio. En su lugar, se concede a los usuarios, grupos o cuentas de servicio uno o varios roles predefinidos o personalizados que les otorgan permisos para realizar acciones en los recursos. Estos roles se asignan a un recurso concreto, pero también se aplican a todos los elementos descendientes de ese recurso en la jerarquía de recursos.

Cuando asignas varios tipos de roles a un usuario, los permisos concedidos son la unión de los permisos de cada rol.

Puedes conceder acceso a los siguientes recursos de BigQuery:

Conjuntos de datos y estos recursos dentro de los conjuntos de datos:
- Tablas y vistas
- Rutinas
Conexiones
Consultas guardadas
Lienzos de datos
Preparación de datos
Flujos de procesamiento
Repositorios

Conceder acceso a los recursos de Resource Manager

Puede configurar el acceso a los recursos de BigQuery a través de Resource Manager. Para ello, asigne un rol de BigQuery a una entidad y, a continuación, asigne ese rol a una organización, una carpeta o un proyecto.

Cuando asignas roles a recursos de Resource Manager, como organizaciones y proyectos, estás concediendo permisos en todos los recursos de BigQuery de la organización o el proyecto.

Para obtener más información sobre cómo usar la gestión de identidades y accesos para gestionar el acceso a los recursos de Resource Manager, consulta el artículo Administra el acceso a proyectos, carpetas y organizaciones en la documentación de la gestión de identidades y accesos.

Conceder acceso a conjuntos de datos

Puedes asignar roles a nivel de conjunto de datos para proporcionar acceso a un conjunto de datos específico sin proporcionar acceso completo a los demás recursos del proyecto. En la jerarquía de recursos de gestión de identidades y accesos, los conjuntos de datos de BigQuery son recursos secundarios de los proyectos. Para obtener más información sobre cómo asignar roles a nivel de conjunto de datos, consulta el artículo sobre cómo controlar el acceso a los recursos con la gestión de identidades y accesos.

Conceder acceso a recursos concretos de conjuntos de datos

Puedes conceder acceso a determinados tipos de recursos de conjuntos de datos a los roles sin proporcionar acceso completo a los recursos del conjunto de datos.

Los roles se pueden aplicar a los siguientes recursos de los conjuntos de datos:

Tablas y vistas
Rutinas

Para obtener más información sobre cómo asignar roles a nivel de tabla, vista o rutina, consulta el artículo sobre cómo controlar el acceso a los recursos con la gestión de identidades y accesos.

Siguientes pasos

Para obtener más información sobre cómo asignar roles a recursos de BigQuery, consulta el artículo sobre cómo controlar el acceso a los recursos con la gestión de identidades y accesos.
Para ver una lista de los roles y permisos de gestión de identidades y accesos predefinidos de BigQuery, consulta el artículo Roles y permisos de gestión de identidades y accesos de BigQuery.