Introdução à segurança e aos controlos de acesso no BigQuery

Este documento oferece uma vista geral dos controlos de acesso no BigQuery através da gestão de identidade e de acesso (IAM). O IAM permite-lhe conceder acesso detalhado a recursos específicos do BigQuery e ajuda a impedir o acesso a outros recursos. O IAM ajuda a aplicar o princípio de segurança do menor privilégio, que afirma que nenhum principal do IAM deve ter mais autorizações do que as que realmente precisa.

Quando um principal do IAM, como um utilizador, um grupo ou uma conta de serviço, chama uma API, esse principal tem de ter as autorizações do IAM mínimas necessárias para usar o recurso. Google Cloud Para conceder a um principal as autorizações necessárias, atribui uma função do IAM ao principal.

Este documento descreve como as funções de IAM predefinidas e personalizadas podem ser usadas para permitir que os principais acedam aos recursos do BigQuery.

Para se familiarizar com a forma como o acesso é gerido no Google Cloud, consulte a vista geral da IAM.

Tipos de funções de IAM

Uma função é um conjunto de autorizações que podem ser concedidas a um principal do IAM. Pode usar os seguintes tipos de funções no IAM para conceder acesso a recursos do BigQuery:

Para determinar se uma ou mais autorizações estão incluídas numa função do IAM predefinida, pode usar um dos seguintes métodos:

Funções de IAM no BigQuery

As autorizações não são atribuídas diretamente a utilizadores, grupos nem contas de serviço. Em alternativa, são concedidas aos utilizadores, aos grupos ou às contas de serviço uma ou mais funções predefinidas ou personalizadas que lhes concedem autorizações para realizar ações em recursos. Concede estas funções num recurso específico, mas também se aplicam a todos os descendentes desse recurso na hierarquia de recursos.

Quando atribui vários tipos de funções a um utilizador, as autorizações concedidas são uma união das autorizações de cada função.

Pode conceder acesso aos seguintes recursos do BigQuery:

  • Conjuntos de dados e estes recursos nos conjuntos de dados:
    • Tabelas e vistas
    • Rotinas
  • Ligações
  • Consultas guardadas
  • Telas de dados
  • Preparações de dados
  • Pipelines
  • Repositórios

Conceda acesso aos recursos do Resource Manager

Pode configurar o acesso aos recursos do BigQuery através do Resource Manager, concedendo uma função do BigQuery a um principal e, em seguida, concedendo essa função numa organização, numa pasta ou num projeto.

Quando atribui funções a recursos do Resource Manager, como organizações e projetos, está a atribuir autorizações a todos os recursos do BigQuery na organização ou no projeto.

Para mais informações sobre a utilização da IAM para gerir o acesso aos recursos do Resource Manager, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações na documentação da IAM.

Conceda acesso a conjuntos de dados

Pode atribuir funções ao nível do conjunto de dados para conceder acesso a um conjunto de dados específico, sem conceder acesso completo aos outros recursos do projeto. Na hierarquia de recursos do IAM, os conjuntos de dados do BigQuery são recursos subordinados dos projetos. Para mais informações sobre a atribuição de funções ao nível do conjunto de dados, consulte o artigo Controle o acesso aos recursos com a IAM.

Conceda acesso a recursos individuais em conjuntos de dados

Pode conceder acesso a funções a determinados tipos de recursos em conjuntos de dados, sem conceder acesso completo aos recursos do conjunto de dados.

As funções podem ser aplicadas aos seguintes recursos nos conjuntos de dados:

  • Tabelas e vistas
  • Rotinas

Para mais informações sobre a atribuição de funções ao nível da tabela, da vista ou da rotina, consulte o artigo Controle o acesso aos recursos com a IAM.

O que se segue?