Introduzione alla sicurezza e ai controlli dell'accesso in BigQuery

Questo documento fornisce una panoramica dei controlli dell'accesso in BigQuery utilizzando Identity and Access Management (IAM). IAM consente di concedere l'accesso granulare a risorse BigQuery specifiche e impedisce l'accesso ad altre risorse. IAM ti aiuta ad applicare il principio di sicurezza del privilegio minimo, che stabilisce che nessuna entità IAM deve disporre di più autorizzazioni di quelle di cui ha effettivamente bisogno.

Quando un'entità IAM come un utente, un gruppo o un account di servizio chiama un'API Google Cloud , questa entità deve disporre delle autorizzazioni IAM minime necessarie per utilizzare la risorsa. Per concedere a un'entità le autorizzazioni richieste, concedi un ruolo IAM all'entità.

Questo documento descrive come i ruoli IAM predefiniti e personalizzati possono essere utilizzati per consentire alle entità di accedere alle risorse BigQuery.

Per acquisire familiarità con la gestione dell'accesso in Google Cloud, consulta la panoramica di IAM.

Tipi di ruoli IAM

Un ruolo è un insieme di autorizzazioni che possono essere concesse a un'entità IAM. Puoi utilizzare i seguenti tipi di ruoli in IAM per concedere l'accesso alle risorse BigQuery:

Per determinare se una o più autorizzazioni sono incluse in un ruolo IAM predefinito, puoi utilizzare uno dei seguenti metodi:

Ruoli IAM in BigQuery

Le autorizzazioni non vengono assegnate direttamente a utenti, gruppi o service account. Agli utenti, ai gruppi o ai service account vengono invece concessi uno o più ruoli predefiniti o personalizzati che concedono loro le autorizzazioni per eseguire azioni sulle risorse. Concedi questi ruoli a una risorsa specifica, ma si applicano anche a tutti i discendenti di quella risorsa nella gerarchia delle risorse.

Quando assegni più tipi di ruolo a un utente, le autorizzazioni concesse sono l'unione delle autorizzazioni di ciascun ruolo.

Puoi concedere l'accesso alle seguenti risorse BigQuery:

  • Set di dati e queste risorse all'interno dei set di dati:
    • Tabelle e viste
    • Routine
  • Connessioni
  • Query salvate
  • Canvas dei dati
  • Preparazioni dei dati
  • Pipeline
  • Repository

Concedi l'accesso alle risorse Resource Manager

Puoi configurare l'accesso alle risorse BigQuery tramite Resource Manager concedendo un ruolo BigQuery a un principal e poi concedendo quel ruolo a un'organizzazione, una cartella o un progetto.

Quando concedi ruoli alle risorse Resource Manager, come organizzazioni e progetti, concedi autorizzazioni per tutte le risorse BigQuery nell'organizzazione o nel progetto.

Per ulteriori informazioni sull'utilizzo di IAM per gestire l'accesso alle risorse di Resource Manager, consulta Gestire l'accesso a progetti, cartelle e organizzazioni nella documentazione IAM.

Concedere l'accesso ai set di dati

Puoi assegnare ruoli a livello di set di dati per fornire l'accesso a un set di dati specifico, senza fornire l'accesso completo alle altre risorse del progetto. Nella gerarchia delle risorse IAM, i set di dati BigQuery sono risorse secondarie dei progetti. Per saperne di più sull'assegnazione dei ruoli a livello di set di dati, consulta Controllare l'accesso alle risorse con IAM.

Concedere l'accesso a singole risorse all'interno dei set di dati

Puoi concedere ai ruoli l'accesso a determinati tipi di risorse all'interno dei set di dati, senza fornire l'accesso completo alle risorse del set di dati.

I ruoli possono essere applicati alle seguenti risorse all'interno dei set di dati:

  • Tabelle e viste
  • Routine

Per saperne di più sull'assegnazione dei ruoli a livello di tabella, vista o routine, consulta Controllare l'accesso alle risorse con IAM.

Passaggi successivi