Papéis e permissões primários

Visão geral

O BigQuery suporta os papéis primários do Cloud IAM para acesso dos envolvidos no projeto.

Os papéis primários no nível do conjunto de dados do BigQuery existiam antes da introdução do Cloud Identity and Access Management. É recomendável usar os papéis predefinidos do Cloud IAM em vez disso.

Papéis primários para projetos

Por padrão, quando um projeto é acessado, também é possível acessar conjuntos de dados dentro dele. O acesso padrão pode ser substituído com base no conjunto de dados. Qualquer usuário com o papel Owner do projeto tem a capacidade de revogar ou alterar qualquer papel do projeto.

Quando um projeto é criado, o BigQuery concede o papel Owner ao usuário que o criou.

Papel primário Recursos
Viewer
  • Pode executar um job no projeto. Papéis de conjuntos de dados adicionais são necessários, dependendo do tipo de job.
  • Pode listar e receber todos os jobs, e atualizar os jobs iniciados para o projeto.
  • Se você criar um conjunto de dados em um projeto que contenha qualquer visualizador, o BigQuery concede a esses usuários o papel predefinido bigquery.dataViewer para esse novo conjunto.
Editor
  • Os mesmos que Viewer, além dos seguintes recursos:
    • Pode criar um novo conjunto de dados no projeto.
    • Se você criar um conjunto de dados em um projeto que contenha qualquer editor, o BigQuery concede a esses usuários o papel predefinido bigquery.dataEditor para esse novo conjunto.
Owner
  • Os mesmos que Editor, além dos seguintes recursos:
    • Pode listar todos os conjuntos de dados do projeto.
    • Pode excluir qualquer conjunto de dados do projeto.
    • Pode listar e receber todos os jobs executados no projeto, incluindo aqueles executados por outros usuários.
    • Se você criar um conjunto de dados, o BigQuery concederá a todos os proprietários do projeto o papel predefinido bigquery.dataOwner para esse novo conjunto.

      Exceção: quando um usuário executa uma consulta, um conjunto de dados anônimo é criado para armazenar a tabela de resultados em cache. Somente o usuário que executa a consulta recebe acesso OWNER ao conjunto de dados anônimo.

Os papéis primários para projetos são concedidos ou revogados por meio do Console do Google Cloud Platform. É preciso ter acesso Owner ao projeto para conceder ou revogar um novo papel.

Para mais informações sobre como usar o Cloud IAM para acessar recursos, consulte Como conceder, alterar e revogar o acesso a recursos na documentação do Cloud Identity and Access Management.

Papéis primários para conjuntos de dados

Os seguintes papéis primários aplicam-se a conjuntos de dados:

Papel do conjunto de dados Recursos
READER
  • Pode ler, consultar, copiar ou exportar tabelas no conjunto de dados. Pode ler rotinas no conjunto de dados.
    • Pode chamar get no conjunto de dados.
    • Pode chamar get e list nas tabelas no conjunto de dados.
    • Pode chamar get e list nas rotinas no conjunto de dados.
    • Pode chamar list nos dados de tabelas no conjunto de dados.
  • Mapeia para o papel predefinido bigquery.dataViewer
WRITER
  • Os mesmos que READER, além dos seguintes recursos:
    • Pode editar ou acrescentar dados no conjunto de dados.
  • Mapeia para o papel predefinido bigquery.dataEditor
OWNER
  • Os mesmos que WRITER, além dos seguintes recursos:
    • Pode executar update no conjunto de dados.
    • Pode chamar delete no conjunto de dados.
  • Mapeia para o papel predefinido bigquery.dataOwner

Observação: um conjunto de dados precisa ter pelo menos uma entidade com o papel OWNER. Um usuário com o papel OWNER não pode remover o próprio papel OWNER.

Para mais informações sobre como atribuir papéis no nível do conjunto de dados, consulte Como controlar o acesso a conjuntos de dados.

Quando você cria um novo conjunto de dados, o BigQuery adiciona o acesso padrão a esse conjunto para as seguintes entidades: Os papéis especificados na criação do conjunto de dados substituem os valores padrão.

Entidade Papel do conjunto de dados
Todos os usuários com acesso Viewer ao projeto READER
Todos os usuários com acesso Editor ao projeto WRITER
Todos os usuários com acesso Owner ao projeto

OWNER

Exceção: quando um usuário executa uma consulta, um conjunto de dados anônimo é criado para armazenar a tabela de resultados em cache. Somente o usuário que executa a consulta recebe acesso OWNER ao conjunto de dados anônimo.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Precisa de ajuda? Acesse nossa página de suporte.