Pengantar keamanan dan kontrol akses di BigQuery

Dokumen ini berisi ringkasan kontrol akses di BigQuery menggunakan Identity and Access Management (IAM). Dengan IAM, Anda dapat memberikan akses terperinci ke resource BigQuery tertentu dan membantu mencegah akses ke resource lain. IAM membantu Anda menerapkan prinsip keamanan dengan hak istimewa terendah, yang menyatakan bahwa tidak ada akun utama IAM yang boleh memiliki izin lebih dari yang sebenarnya diperlukan.

Saat akun utama IAM seperti akun pengguna, grup, atau layanan memanggil Google Cloud API, akun utama tersebut harus memiliki izin IAM minimum yang diperlukan untuk menggunakan resource. Untuk memberikan akun utama izin yang diperlukan, Anda memberikan peran IAM kepada akun utama.

Dokumen ini menjelaskan cara peran IAM standar dan kustom dapat digunakan untuk mengizinkan akun utama mengakses resource BigQuery.

Untuk mempelajari cara pengelolaan akses di Google Cloud, lihat ringkasan IAM.

Jenis peran IAM

Peran adalah kumpulan izin yang dapat diberikan kepada akun utama IAM. Anda dapat menggunakan jenis peran berikut di IAM untuk memberikan akses ke resource BigQuery:

  • Peran bawaan dikelola oleh Google Cloud dan mendukung kasus penggunaan umum serta pola kontrol akses.
  • Peran khusus memberikan akses sesuai dengan daftar izin yang ditentukan pengguna. Untuk mengetahui informasi cara membuat peran khusus, lihat Membuat dan mengelola peran khusus dalam dokumentasi IAM.

Untuk menentukan apakah satu atau beberapa izin disertakan dalam peran IAM bawaan, Anda dapat menggunakan salah satu metode berikut:

Peran IAM di BigQuery

Izin tidak ditetapkan langsung ke akun pengguna, grup, atau layanan. Sebagai gantinya, pengguna, grup, atau akun layanan diberi satu atau beberapa peran bawaan atau khusus yang memberi mereka izin untuk melakukan tindakan pada resource. Anda memberikan peran ini pada resource tertentu, tetapi peran ini juga berlaku untuk semua turunan resource tersebut dalam hierarki resource.

Saat Anda menetapkan beberapa jenis peran kepada pengguna, izin yang diberikan merupakan gabungan dari izin setiap peran.

Anda dapat memberikan akses ke resource BigQuery berikut:

  • Set data dan resource ini dalam set data:
    • Tabel dan tampilan
    • Rutinitas
  • Koneksi
  • Kueri tersimpan
  • Kanvas data
  • Persiapan data
  • Pipeline
  • Repositori

Memberikan akses ke resource Resource Manager

Anda dapat mengonfigurasi akses ke resource BigQuery melalui Resource Manager dengan memberikan peran BigQuery kepada akun utama, lalu dengan memberikan peran tersebut di organisasi, folder, atau project.

Saat memberikan peran ke resource Resource Manager seperti organisasi dan project, Anda memberikan izin pada semua resource BigQuery di organisasi atau project.

Untuk informasi tambahan tentang penggunaan IAM untuk mengelola akses ke resource Resource Manager, lihat Mengelola akses ke project, folder, dan organisasi dalam dokumentasi IAM.

Memberikan akses ke set data

Anda dapat menetapkan peran pada tingkat set data untuk memberikan akses ke set data tertentu, tanpa memberikan akses lengkap ke resource project lainnya. Dalam hierarki resource IAM, set data BigQuery adalah resource turunan dari project. Untuk mengetahui informasi selengkapnya tentang cara menetapkan peran pada level set data, lihat Mengontrol akses ke resource dengan IAM.

Memberikan akses ke setiap resource dalam set data

Anda dapat memberikan akses peran ke jenis resource tertentu dalam set data, tanpa memberikan akses lengkap ke resource set data.

Peran dapat diterapkan ke resource berikut dalam set data:

  • Tabel dan tampilan
  • Rutinitas

Untuk mengetahui informasi selengkapnya tentang cara menetapkan peran pada level tabel, tabel virtual, atau rutinitas, lihat Mengontrol akses ke resource dengan IAM.

Langkah berikutnya