Rôles primitifs et autorisations

Présentation

BigQuery est compatible avec les rôles primitifs de Cloud IAM pour un accès au niveau du projet.

Les rôles primitifs de BigQuery au niveau de l'ensemble de données existaient avant la mise en place de Cloud Identity and Access Management. Il est recommandé d'utiliser plutôt les rôles Cloud IAM prédéfinis.

Rôles primitifs pour les projets

Par défaut, autoriser l'accès à un projet permet également d'accéder aux ensembles de données qu'il contient. L'accès par défaut peut être ignoré pour chaque ensemble de données. Un utilisateur associé au rôle Owner dans le projet peut révoquer ou modifier les rôles du projet.

Lors de la création d'un projet, BigQuery attribue le rôle Owner à l'utilisateur qui a créé le projet.

Rôle primitif Compétences
Viewer
  • Peut démarrer une tâche dans le projet. Des rôles supplémentaires pour les ensembles de données peuvent être nécessaires en fonction du type de tâche.
  • Peut répertorier et obtenir toutes les tâches, et mettre à jour celles qui ont été démarrées pour le projet.
  • Si vous créez un ensemble de données dans un projet pour lequel des lecteurs sont définis, BigQuery attribue à ces utilisateurs le rôle prédéfini bigquery.dataViewer dans le nouvel ensemble de données.
Editor
  • Compétences identiques à celles de Viewer, plus les suivantes :
    • Peut créer un ensemble de données dans le projet.
    • Si vous créez un ensemble de données dans un projet pour lequel des éditeurs sont définis, BigQuery attribue à ces utilisateurs le rôle prédéfini bigquery.dataEditor dans le nouvel ensemble de données.
Owner
  • Compétences identiques à celles de Editor, plus les suivantes :
    • Peut répertorier tous les ensembles de données du projet.
    • Peut supprimer n'importe quel ensemble de données du projet.
    • Peut répertorier et obtenir toutes les tâches exécutées dans le projet, y compris celles qui sont exécutées par d'autres utilisateurs du projet.
    • Si vous créez un ensemble de données, BigQuery attribue à tous les propriétaires de projets le rôle prédéfini bigquery.dataOwner dans le nouvel ensemble de données.

      Exception : Lorsqu'un utilisateur exécute une requête, un ensemble de données anonyme est créé pour stocker la table des résultats mis en cache. Seul l'utilisateur qui exécute la requête peut avoir l'accès OWNER à l'ensemble de données anonyme.

Les rôles primitifs au niveau des projets sont accordés ou révoqués via la console Google Cloud Platform. Vous devez avoir un accès Owner au projet pour accorder ou révoquer un nouveau rôle au niveau du projet.

Pour en savoir plus sur l'utilisation de Cloud IAM pour accorder ou révoquer l'accès à des rôles au niveau d'un projet, consultez la page Accorder, modifier et révoquer les accès à des ressources dans la documentation Cloud Identity and Access Management.

Rôles primitifs pour les ensembles de données

Les rôles primitifs suivants s'appliquent au niveau de l'ensemble de données.

Rôle de l'ensemble de données Compétences
READER
  • Peut lire, interroger, copier ou exporter des tables dans l'ensemble de données. Peut également lire des routines dans l'ensemble de données.
    • Peut appeler get sur l'ensemble de données
    • Peut appeler get et list sur les tables de l'ensemble de données
    • Peut appeler get et list sur les routines de l'ensemble de données
    • Peut appeler list sur les données des tables de l'ensemble de données
  • Correspond au rôle prédéfini bigquery.dataViewer.
WRITER
  • Compétences identiques à celles de READER, plus les suivantes :
    • Peut modifier ou ajouter des données dans l'ensemble de données
      • Peut appeler insert, insertAll, update ou delete sur les tables
      • Peut utiliser des tables de l'ensemble de données comme destinations pour les tâches de chargement, de copie ou de requête
      • Peut appeler insert, update ou delete sur les routines
  • Correspond au rôle prédéfini bigquery.dataEditor
OWNER
  • Compétences identiques à celles de WRITER, plus les suivantes :
    • Peut appeler update sur l'ensemble de données
    • Peut appeler delete sur l'ensemble de données
  • Correspond au rôle prédéfini bigquery.dataOwner.

Remarque : Un ensemble de données doit être associé à une entité (au minimum) disposant du rôle OWNER. Un utilisateur qui dispose du rôle OWNER ne peut pas supprimer son propre rôle OWNER.

Pour en savoir plus sur l'attribution de rôles au niveau de l'ensemble de données, consultez la page Contrôler l'accès aux ensembles de données.

Lorsque vous créez un ensemble de données, BigQuery ajoute un accès par défaut à l'ensemble de données pour les entités suivantes. Les rôles que vous spécifiez lors de la création de l'ensemble de données écrasent les valeurs par défaut.

Entité Rôle de l'ensemble de données
Tous les utilisateurs disposant d'un accès Viewer au projet READER
Tous les utilisateurs disposant d'un accès Editor au projet WRITER
Tous les utilisateurs disposant d'un accès Owner au projet

OWNER

Exception : Lorsqu'un utilisateur exécute une requête, un ensemble de données anonyme est créé pour stocker la table des résultats mis en cache. Seul l'utilisateur qui exécute la requête peut avoir l'accès OWNER à l'ensemble de données anonyme.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Besoin d'aide ? Consultez notre page d'assistance.