基本ロールと権限
概要
BigQuery は、プロジェクト レベルのアクセスを許可するため、IAM の基本ロールをサポートしています。
プロジェクトの基本ロール
デフォルトでは、プロジェクトへのアクセス権限を付与すると、その中のデータセットにもアクセス権が付与されます。デフォルトのアクセス権限はデータセット単位でオーバーライドできます。次の表に、IAM の基本ロールのメンバーに付与されるアクセス権を示します。
基本ロール | 機能 |
---|---|
Viewer
|
|
Editor
|
|
Owner
|
|
プロジェクトの基本ロールは、Google Cloud コンソール を使用して付与または取り消します。プロジェクトが作成されると、プロジェクトを作成したユーザーに Owner
のロールが付与されます。
BigQuery では、基本ロールが割り当てられている ID(ユーザー、グループ、サービス アカウント)から呼び出しを受信すると、BigQuery はその基本ロールを特殊グループのメンバーとして解釈します。特殊グループのメンバーシップは、BigQuery IAM ロールに割り当てられた ID 権限を付与します。次の表は、各基本ロールの特殊グループとそのロールを示しています。
基本ロール | 割り当て先のグループ | BigQuery IAM ロール |
---|---|---|
roles/viewer |
access.specialGroup: projectReaders |
roles/bigquery.dataViewer |
roles/editor |
access.specialGroup: projectWriters |
roles/bigquery.dataEditor |
roles/owner |
access.specialGroup: projectOwners |
roles/bigquery.dataOwner |
特殊グループのアクセス権は作成時にのみ付与されます。後で権限を削除または変更するには、データセットの IAM ポリシーまたはオブジェクトのアクセス制御リスト(ACL)を編集します。
プロジェクト ロールへのアクセス権の付与と取り消しについては、IAM ドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。
データセットの基本ロール
以下の基本ロールはデータセット レベルで適用されます。
データセット ロール | 機能 |
---|---|
READER |
|
WRITER |
|
OWNER |
注: データセットには、 |
データセット レベルでロールを割り当てる方法について詳しくは、データセットへのアクセスの制御をご覧ください。
新しいデータセットを作成すると、BigQuery によってデフォルトのデータセット アクセス権限が次のエンティティに追加されます。データセットの作成時にロールを指定すると、デフォルトの値がオーバーライドされます。
エンティティ | データセット ロール |
---|---|
プロジェクトに対する Viewer アクセス権限を持つすべてのユーザー |
READER |
プロジェクトに対する Editor アクセス権限を持つすべてのユーザー |
WRITER |
プロジェクトに対する Owner アクセス権限を持つすべてのユーザーおよびデータベース作成者 |
例外: ユーザーがクエリを実行すると、キャッシュに保存される結果テーブルを格納するために匿名データセットが作成されます。クエリを実行するユーザーにのみ、匿名データセットに対する |