Introducción a la seguridad y los controles de acceso en BigQuery

En este documento, se proporciona una descripción general de los controles de acceso en BigQuery con Identity and Access Management (IAM). IAM te permite otorgar acceso detallado a recursos específicos de BigQuery y ayuda a evitar el acceso a otros recursos. IAM te ayuda a aplicar el principio de seguridad de privilegio mínimo, que indica que ningún principal de IAM debe tener más permisos de los que realmente necesita.

Cuando un principal de IAM, como un usuario, un grupo o una cuenta de servicio, llama a una API de Google Cloud , ese principal debe tener los permisos de IAM mínimos necesarios para usar el recurso. Para otorgar los permisos necesarios a una principal, debes otorgarle un rol de IAM.

En este documento, se describe cómo se pueden usar los roles de IAM predefinidos y personalizados para permitir que las principales accedan a los recursos de BigQuery.

Para familiarizarte con la administración de acceso en Google Cloud, consulta la descripción general de IAM.

Tipos de roles de IAM

Un rol es un conjunto de permisos que se pueden otorgar a un principal de IAM. Puedes usar los siguientes tipos de roles en IAM para otorgar acceso a los recursos de BigQuery:

Para determinar si se incluyen uno o más permisos en un rol de IAM predefinido, puedes usar uno de los siguientes métodos:

Roles de IAM en BigQuery

Los permisos no se asignan directamente a los usuarios, grupos o cuentas de servicio. En cambio, a los usuarios, grupos o cuentas de servicio se les otorga uno o más roles predefinidos o personalizados que les otorgan permisos para realizar acciones en los recursos. Otorgas estos roles en un recurso en particular, pero también se aplican a todos los descendientes de ese recurso en la jerarquía de recursos.

Cuando asignas varios tipos de roles a un usuario, los permisos otorgados son una unión de los permisos de cada rol.

Puedes otorgar acceso a los siguientes recursos de BigQuery:

  • Conjuntos de datos y los siguientes recursos dentro de ellos:
    • Tablas y vistas
    • Rutinas
  • Conexiones
  • Consultas guardadas
  • Lienzos de datos
  • Preparaciones de datos
  • Canalizaciones
  • Repositorios

Otorga acceso a los recursos de Resource Manager

Puedes configurar el acceso a los recursos de BigQuery a través del Administrador de recursos. Para ello, otorga un rol de BigQuery a una principal y, luego, otorga ese rol a una organización, una carpeta o un proyecto.

Cuando otorgas roles a recursos de Resource Manager, como organizaciones y proyectos, otorgas permisos en todos los recursos de BigQuery de la organización o el proyecto.

Si deseas obtener más información sobre el uso de IAM para administrar el acceso a los recursos de Resource Manager, consulta Administra el acceso a proyectos, carpetas y organizaciones en la documentación de IAM.

Otorga acceso a los conjuntos de datos

Puedes asignar roles a nivel del conjunto de datos para proporcionar acceso a un conjunto de datos específico, sin proporcionar acceso completo a los otros recursos del proyecto. En la jerarquía de recursos de IAM, los conjuntos de datos de BigQuery son recursos secundarios de los proyectos. Para obtener más información sobre la asignación de roles a nivel de conjunto de datos, consulta Controla el acceso a los recursos con IAM.

Otorga acceso a recursos individuales dentro de conjuntos de datos

Puedes otorgar acceso a roles a ciertos tipos de recursos dentro de conjuntos de datos, sin proporcionar acceso completo a los recursos del conjunto de datos.

Los roles se pueden aplicar a los siguientes recursos dentro de los conjuntos de datos:

  • Tablas y vistas
  • Rutinas

Para obtener más información sobre cómo asignar roles a nivel de tabla, vista o rutina, consulta Controla el acceso a los recursos con IAM.

¿Qué sigue?