Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Zugriffssteuerung mit IAM

Auf dieser Seite finden Sie Informationen zu IAM-Rollen (Identity and Access Management) und Berechtigungen für BigQuery. Bevor Sie die Zugriffssteuerung für BigQuery konfigurieren, sollten Sie sich mit der Verwaltung des Zugriffs auf Google Cloud mit IAM vertraut machen.

Möglicherweise benötigen Sie auch detaillierte Anleitungen für Rollen und Berechtigungen für die folgenden BigQuery-Dienste:

Übersicht

Wenn eine Identität (ein Nutzer oder Dienstkonto) eine Google Cloud API aufruft, erfordert BigQuery, dass die Identität die entsprechenden Berechtigungen zur Verwendung der Ressource hat. Sie können Berechtigungen gewähren, indem Sie einem Nutzer, einer Gruppe oder einem Dienstkonto Rollen zuweisen.

Auf dieser Seite werden die BigQuery-IAM-Rollen beschrieben, die Sie Identitäten für den Zugriff auf BigQuery-Ressourcen zuweisen können.

Arten von IAM-Rollen

Sie können die folgenden Rollentypen in IAM verwalten:

  • Vordefinierte Rollen, die einen genau definierten Zugriff auf einen bestimmten Dienst ermöglichen und von Google Cloud verwaltet werden. Vordefinierte Rollen sollen allgemeine Anwendungsfälle und Zugriffskontrollmuster unterstützen.
  • Benutzerdefinierte Rollen, die Zugriff entsprechend einer vom Nutzer angegebenen Liste von Berechtigungen ermöglichen.

Um zu ermitteln, ob eine oder mehrere Berechtigungen in einer Rolle enthalten sind, können Sie eine der folgenden Methoden verwenden:

Wenn Sie einem Nutzer mehrere Rollentypen zuweisen, werden ihm die Berechtigungen beider Rollen gewährt.

Weitere Informationen dazu, wie Sie mit IAM auf Ressourcen zugreifen, finden Sie in der IAM-Dokumentation Zugriff auf Ressourcen erteilen, ändern und widerrufen.

Informationen zum Erstellen benutzerdefinierter Rollen finden Sie in der IAM-Dokumentation unter Benutzerdefinierte Rollen erstellen und verwalten.

Berechtigungen und vordefinierte IAM-Rollen für BigQuery

Berechtigungen werden Nutzern, Gruppen oder Dienstkonten nicht direkt zugewiesen. Stattdessen erhalten Nutzer, Gruppen oder Dienstkonten Zugriff auf vordefinierte oder benutzerdefinierte Rollen, um ihnen Berechtigungen zum Ausführen von Aktionen für Ressourcen zu erteilen.

Sie können Zugriff auf den folgenden BigQuery-Ressourcenebenen gewähren:

  • Organisations- oder Google Cloud-Projektebene
  • Dataset-Ebene
  • Tabellen- oder Ansichtsebene

Auf Organisations- oder Cloud-Projektebene angewendete Rollen

Wenn Sie Rollen auf Organisations- und Projektebene zuweisen, erteilen Sie die Berechtigung zum Ausführen von BigQuery-Jobs oder zum Zugriff auf alle BigQuery-Ressourcen eines Projekts.

Auf Dataset-Ebene angewendete Rollen

Sie können Rollen auf Dataset-Ebene zuweisen, um Zugriff auf ein bestimmtes Dataset zu gewähren, ohne vollen Zugriff auf die Projektressourcen zu ermöglichen. In der IAM-Richtlinienhierarchie sind die Datasets die untergeordneten Ressourcen von Projekten. Weitere Informationen zum Zuweisen von Rollen auf Dataset-Ebene finden Sie unter Zugriff auf Datasets steuern.

Rollen, die auf einzelne Ressourcen in Datasets angewendet werden

Sie können bestimmten Ressourcentypen in Datasets Rollen zuweisen, ohne vollständigen Zugriff auf die Ressourcen des Datasets zu gewähren.

Rollen können einzelnen Ressourcen der folgenden Typen zugewiesen werden:

  • Tabellen
  • Aufrufe

Rollen können nicht auf einzelne Ressourcen der folgenden Typen angewendet werden:

  • routines
  • Modelle

Weitere Informationen zum Zuweisen von Rollen auf Tabellen- oder Ansichtsebene finden Sie unter Zugriff auf Tabellen oder Ansichten steuern.

BigQuery-Berechtigungen

In der folgenden Tabelle werden die für BigQuery verfügbaren Berechtigungen aufgelistet.

Berechtigung Beschreibung
bigquery.bireservations.get BI Engine-Reservierungen lesen.
bigquery.bireservations.update BI Engine-Reservierungen aktualisieren.
bigquery.capacityCommitments.create Eine Kapazitätszusicherung im Projekt erstellen.
bigquery.capacityCommitments.delete Eine Kapazitätszusicherung löschen.
bigquery.capacityCommitments.get Details zu einer Kapazitätszusicherung abrufen.
bigquery.capacityCommitments.list Alle Kapazitätszusicherungen in einem Projekt auflisten.
bigquery.capacityCommitments.update Alle Kapazitätsverpflichtungen in einem Projekt aktualisieren.
bigquery.config.update Konfiguration erstellen.
bigquery.config.get Details zu einer Konfiguration abrufen.
bigquery.connections.create Neue Verbindungen in einem Projekt erstellen.
bigquery.connections.delete Verbindung löschen.
bigquery.connections.get Verbindungsmetadaten abrufen. Anmeldedaten sind ausgeschlossen.
bigquery.connections.list Verbindungen in einem Projekt auflisten.
bigquery.connections.update Verbindung und zugehörige Anmeldedaten aktualisieren.
bigquery.connections.updateTag

Tags für eine Verbindung aktualisieren.

bigquery.connections.use Verbindungskonfiguration verwenden, um eine Verbindung zu einer Remotedatenquelle herzustellen.
bigquery.connections.delegate Delegieren Sie die Verbindung, um autorisierte externe Tabellen und Remotefunktionen zu erstellen.
bigquery.dataPolicies.create

Erstellen Sie neue Datenrichtlinien.

Diese Berechtigung befindet sich in der Vorschau.

bigquery.dataPolicies.delete

Datenrichtlinien löschen?

Diese Berechtigung befindet sich in der Vorschau.

bigquery.dataPolicies.get

Metadaten über Datenrichtlinien abrufen.

Diese Berechtigung befindet sich in der Vorschau.

bigquery.dataPolicies.getIamPolicy

IAM-Berechtigungen einer Datenrichtlinie lesen.

Diese Berechtigung befindet sich in der Vorschau.

bigquery.dataPolicies.list

Datenrichtlinien in einem Projekt auflisten.

Diese Berechtigung befindet sich in der Vorschau.

bigquery.dataPolicies.maskedGet

Maskierte Daten einer Spalte anzeigen, deren Richtlinien-Tag mit einer Datenrichtlinie verknüpft ist.

Diese Berechtigung befindet sich in der Vorschau.

bigquery.dataPolicies.setIamPolicy

IAM-Berechtigungen einer Datenrichtlinie festlegen.

Diese Berechtigung befindet sich in der Vorschau

bigquery.dataPolicies.update

Metadaten einer Datenrichtlinie aktualisieren.

Diese Berechtigung befindet sich in der Vorschau.

bigquery.datasets.create Neue, leere Datasets erstellen.
bigquery.datasets.createTagBinding Tag-Bindungen für ein Dataset erstellen.
bigquery.datasets.delete Datasets löschen.
bigquery.datasets.deleteTagBinding Tag-Bindungen für ein Dataset löschen.
bigquery.datasets.get Metadaten über ein Dataset abrufen.
bigquery.datasets.getIamPolicy IAM-Berechtigungen eines Datasets lesen.
bigquery.datasets.link Erstellen Sie ein verknüpftes Dataset.
bigquery.datasets.listTagBindings Tag-Bindungen für ein Dataset auflisten
bigquery.datasets.setIamPolicy IAM-Berechtigungen eines Datasets ändern
bigquery.datasets.update Metadaten eines Datasets aktualisieren.
bigquery.datasets.updateTag (Beta) Tags eines Datasets aktualisieren.
bigquery.jobs.create Jobs, einschließlich Abfragen, innerhalb des Projekts ausführen.
bigquery.jobs.get Daten und Metadaten eines Jobs abrufen.1
bigquery.jobs.list Alle Jobs auflisten und Metadaten der einzelnen Jobs abrufen, die von einem Nutzer gesendet wurden. Bei Jobs, die von anderen Nutzern gesendet wurden, werden Details und Metadaten entfernt.
bigquery.jobs.listAll Alle Jobs auflisten und Metadaten der einzelnen Jobs abrufen, die von einem Nutzer gesendet wurden.
bigquery.jobs.listExecutionMetadata (Beta) Alle Jobausführungsmetadaten (ohne vertrauliche Informationen) für jeden von einem Nutzer gesendeten Job auflisten. Sie kann nur auf Organisationsebene angewendet und von der Admin-Benutzeroberfläche verwendet werden.
bigquery.jobs.delete Metadaten für einen Job löschen.
bigquery.jobs.update Jobs abbrechen.1
bigquery.models.create Neue Modelle erstellen.
bigquery.models.delete Modelle löschen.
bigquery.models.getData Modelldaten abrufen. Zum Abrufen der Modellmetadaten benötigen Sie bigquery.models.getMetadata.
bigquery.models.getMetadata Modellmetadaten abrufen. Zum Abrufen der Modelldaten benötigen Sie bigquery.models.getData.
bigquery.models.list Modelle und Metadaten zu Modellen auflisten.
bigquery.models.updateData Modelldaten aktualisieren. Zum Aktualisieren von Modellmetadaten benötigen Sie bigquery.models.updateMetadata.
bigquery.models.updateMetadata Modellmetadaten aktualisieren. Zum Aktualisieren von Modelldaten benötigen Sie bigquery.models.updateData.
bigquery.models.export Modell exportieren.
bigquery.readsessions.create Mithilfe der BigQuery Storage Read API eine neue Lesesitzung erstellen.
bigquery.readsessions.getData Daten über die Storage Read API aus einer Lesesitzung lesen.
bigquery.readsessions.update Eine Lesesitzung über die Storage Read API aktualisieren.
bigquery.reservations.create Reservierung in einem Projekt erstellen.
bigquery.reservations.delete Eine Reservierung löschen.
bigquery.reservations.get Details zu einer Reservierung abrufen.
bigquery.reservations.list Alle Reservierungen in einem Projekt auflisten.
bigquery.reservations.update Die Attribute einer Reservierung aktualisieren.
bigquery.reservationAssignments.create

Eine Reservierungszuweisung erstellen. Diese Berechtigung ist für das Eigentümerprojekt und die zugewiesene Ressource erforderlich.
Um eine Reservierungszuweisung zu verschieben, benötigen Sie bigquery.reservationAssignments.create für das neue Eigentümerprojekt und die zugewiesene Ressource.

bigquery.reservationAssignments.delete

Eine Reservierungszuweisung löschen. Diese Berechtigung ist für das Eigentümerprojekt und die zugewiesene Ressource erforderlich.
Um eine Reservierungszuweisung zu verschieben, benötigen Sie bigquery.reservationAssignments.delete für das alte Eigentümerprojekt und die zugewiesene Ressource.

bigquery.reservationAssignments.list Alle Reservierungszuweisungen in einem Projekt auflisten.
bigquery.reservationAssignments.search Nach einer Reservierungszuweisung für ein bestimmtes Projekt, einen Ordner oder eine Organisation suchen.
bigquery.rowAccessPolicies.create Neue Zugriffsrichtlinie auf Zeilenebene für eine Tabelle erstellen.
bigquery.rowAccessPolicies.delete Zugriffsrichtlinie auf Zeilenebene aus einer Tabelle löschen
bigquery.rowAccessPolicies.getFilteredData Ruft Daten in einer Tabelle ab, die nur für die Hauptkonten auf der Liste der Berechtigten einer Zugriffsrichtlinie auf Zeilenebene sichtbar sein sollen. Wir empfehlen, diese Berechtigung nur für eine Zugriffsrichtlinie auf Zeilenebene zu gewähren.
bigquery.rowAccessPolicies.list Alle Zugriffsrichtlinien auf Zeilenebene für eine Tabelle auflisten.
bigquery.rowAccessPolicies.overrideTimeTravelRestrictions Zugriff auf Verlaufsdaten für eine Tabelle, die über Zugriffsrichtlinien auf Zeilenebene verfügt oder verfügte.
bigquery.rowAccessPolicies.getIamPolicy IAM-Berechtigungen einer Zeilenzugriffsrichtlinie abrufen.
bigquery.rowAccessPolicies.setIamPolicy IAM-Berechtigungen für die Zeilenzugriffsrichtlinie festlegen.
bigquery.rowAccessPolicies.update Zugriffsrichtlinie auf Zeilenebene neu erstellen.
bigquery.routines.create Neue Routinen (Funktionen und gespeicherte Prozeduren) erstellen.
bigquery.routines.delete Routinen löschen.
bigquery.routines.get Routinendefinitionen und -metadaten abrufen.
bigquery.routines.list Routinen und Metadaten zu Routinen auflisten.
bigquery.routines.update

Routinendefinitionen und -metadaten aktualisieren.

bigquery.routines.updateTag

Aktualisiert Tags für einen Routine.

bigquery.savedqueries.create Gespeicherte Abfragen erstellen.
bigquery.savedqueries.delete Gespeicherte Abfragen löschen.
bigquery.savedqueries.get Metadaten für gespeicherte Abfragen abrufen.
bigquery.savedqueries.list Gespeicherte Abfragen auflisten.
bigquery.savedqueries.update Gespeicherte Abfragen aktualisieren.
bigquery.tables.create Neue Tabellen erstellen.
bigquery.tables.createIndex Suchindexe für Tabellen erstellen.
bigquery.tables.createSnapshot Neue Tabellen-Snapshots erstellen.
bigquery.tables.delete Tabellen löschen.
bigquery.tables.deleteIndex Suchindexe für Tabellen löschen.
bigquery.tables.deleteSnapshot Tabellen-Snapshots löschen.
bigquery.tables.export Tabellendaten aus BigQuery exportieren.
bigquery.tables.get Metadaten von Tabellen abrufen.
Zum Abrufen der Tabellendaten benötigen Sie bigquery.tables.getData.
bigquery.tables.getData Tabellendaten abrufen. Diese Berechtigung wird zum Abfragen von Tabellendaten benötigt.
Zum Abrufen von Tabellenmetadaten benötigen Sie bigquery.tables.get.
bigquery.tables.getIamPolicy IAM-Richtlinie einer Tabelle lesen.
bigquery.tables.list Tabellen und Metadaten zu Tabellen auflisten.
bigquery.tables.restoreSnapshot Tabellen-Snapshots wiederherstellen.
bigquery.tables.setCategory Richtlinien-Tags im Tabellenschema festlegen.
bigquery.tables.setIamPolicy IAM-Richtlinie einer Tabelle ändern.
bigquery.tables.update

Tabellenmetadaten aktualisieren.
Zum Aktualisieren von Tabellendaten benötigen Sie bigquery.tables.updateData.

bigquery.tables.updateData

Tabellendaten aktualisieren.
Zum Aktualisieren von Tabellenmetadaten benötigen Sie bigquery.tables.update.

bigquery.tables.updateTag (Beta) Tags für eine Tabelle aktualisieren.
bigquery.transfers.get Übertragungsmetadaten abrufen.
bigquery.transfers.update Übertragungen erstellen, aktualisieren und löschen.

1 Für jeden Job, den Sie erstellen, haben Sie automatisch die entsprechenden Berechtigungen bigquery.jobs.get und bigquery.jobs.update für diesen Job.

Vordefinierte IAM-Rollen für BigQuery

In der folgenden Tabelle sind die vordefinierten BigQuery-IAM-Rollen und die jeweiligen Berechtigungen aufgeführt, die eine Rolle enthält. Jede Berechtigung gilt für einen bestimmten Ressourcentyp.

Rolle Berechtigungen

(roles/bigquery.admin)

Berechtigungen zum Verwalten aller Ressourcen im Projekt. Es können damit alle Daten im Projekt verwaltet und Jobs von anderen Nutzern abgebrochen werden, die im Projekt ausgeführt werden.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Datasets
  • Zeilenzugriffsrichtlinien
  • Tabellen
  • Aufrufe

Enthält 18 Inhaberberechtigungen

bigquery.bireservations.*

  • bigquery.bireservations.get
  • bigquery.bireservations.update

bigquery.capacityCommitments.*

  • bigquery.capacityCommitments.create
  • bigquery.capacityCommitments.delete
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.capacityCommitments.update

bigquery.config.*

  • bigquery.config.get
  • bigquery.config.update

bigquery.connections.*

  • bigquery.connections.create
  • bigquery.connections.delegate
  • bigquery.connections.delete
  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.setIamPolicy
  • bigquery.connections.update
  • bigquery.connections.updateTag
  • bigquery.connections.use

bigquery.dataPolicies.create

bigquery.dataPolicies.delete

bigquery.dataPolicies.get

bigquery.dataPolicies.getIamPolicy

bigquery.dataPolicies.list

bigquery.dataPolicies.setIamPolicy

bigquery.dataPolicies.update

bigquery.datasets.*

  • bigquery.datasets.create
  • bigquery.datasets.createTagBinding
  • bigquery.datasets.delete
  • bigquery.datasets.deleteTagBinding
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.link
  • bigquery.datasets.listTagBindings
  • bigquery.datasets.setIamPolicy
  • bigquery.datasets.update
  • bigquery.datasets.updateTag

bigquery.jobs.*

  • bigquery.jobs.create
  • bigquery.jobs.delete
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.jobs.update

bigquery.models.*

  • bigquery.models.create
  • bigquery.models.delete
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.models.updateData
  • bigquery.models.updateMetadata
  • bigquery.models.updateTag

bigquery.readsessions.*

  • bigquery.readsessions.create
  • bigquery.readsessions.getData
  • bigquery.readsessions.update

bigquery.reservationAssignments.*

  • bigquery.reservationAssignments.create
  • bigquery.reservationAssignments.delete
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search

bigquery.reservations.*

  • bigquery.reservations.create
  • bigquery.reservations.delete
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.reservations.update

bigquery.routines.*

  • bigquery.routines.create
  • bigquery.routines.delete
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.routines.update
  • bigquery.routines.updateTag

bigquery.rowAccessPolicies.create

bigquery.rowAccessPolicies.delete

bigquery.rowAccessPolicies.getIamPolicy

bigquery.rowAccessPolicies.list

bigquery.rowAccessPolicies.overrideTimeTravelRestrictions

bigquery.rowAccessPolicies.setIamPolicy

bigquery.rowAccessPolicies.update

bigquery.savedqueries.*

  • bigquery.savedqueries.create
  • bigquery.savedqueries.delete
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.savedqueries.update

bigquery.tables.*

  • bigquery.tables.create
  • bigquery.tables.createIndex
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.deleteIndex
  • bigquery.tables.deleteSnapshot
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.setCategory
  • bigquery.tables.setIamPolicy
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag

bigquery.transfers.*

  • bigquery.transfers.get
  • bigquery.transfers.update

bigquerymigration.translation.translate

resourcemanager.projects.get

resourcemanager.projects.list

(roles/bigquery.connectionAdmin)

Enthält 2 Inhaberberechtigungen

bigquery.connections.*

  • bigquery.connections.create
  • bigquery.connections.delegate
  • bigquery.connections.delete
  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.setIamPolicy
  • bigquery.connections.update
  • bigquery.connections.updateTag
  • bigquery.connections.use

(roles/bigquery.connectionUser)

bigquery.connections.get

bigquery.connections.getIamPolicy

bigquery.connections.list

bigquery.connections.use

(roles/bigquery.dataEditor)

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren.
  • Die Tabelle oder Ansicht löschen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Metadaten des Datasets lesen und Tabellen im Dataset auflisten.
  • Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen.

Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht die Rolle zusätzlich das Erstellen neuer Datasets.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Tabelle
  • Anzeigen

bigquery.config.get

bigquery.datasets.create

bigquery.datasets.get

bigquery.datasets.getIamPolicy

bigquery.datasets.updateTag

bigquery.models.*

  • bigquery.models.create
  • bigquery.models.delete
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.models.updateData
  • bigquery.models.updateMetadata
  • bigquery.models.updateTag

bigquery.routines.*

  • bigquery.routines.create
  • bigquery.routines.delete
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.routines.update
  • bigquery.routines.updateTag

bigquery.tables.create

bigquery.tables.createIndex

bigquery.tables.createSnapshot

bigquery.tables.delete

bigquery.tables.deleteIndex

bigquery.tables.export

bigquery.tables.get

bigquery.tables.getData

bigquery.tables.getIamPolicy

bigquery.tables.list

bigquery.tables.restoreSnapshot

bigquery.tables.update

bigquery.tables.updateData

bigquery.tables.updateTag

resourcemanager.projects.get

resourcemanager.projects.list

(roles/bigquery.dataOwner)

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren.
  • Tabelle oder Ansicht freigeben.
  • Die Tabelle oder Ansicht löschen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Das Lesen, Aktualisieren und Löschen des Datasets.
  • Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen.

Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht die Rolle zusätzlich das Erstellen neuer Datasets.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Tabelle
  • Ansehen

Enthält 11 Inhaberberechtigungen

bigquery.config.get

bigquery.dataPolicies.create

bigquery.dataPolicies.delete

bigquery.dataPolicies.get

bigquery.dataPolicies.getIamPolicy

bigquery.dataPolicies.list

bigquery.dataPolicies.setIamPolicy

bigquery.dataPolicies.update

bigquery.datasets.*

  • bigquery.datasets.create
  • bigquery.datasets.createTagBinding
  • bigquery.datasets.delete
  • bigquery.datasets.deleteTagBinding
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.link
  • bigquery.datasets.listTagBindings
  • bigquery.datasets.setIamPolicy
  • bigquery.datasets.update
  • bigquery.datasets.updateTag

bigquery.models.*

  • bigquery.models.create
  • bigquery.models.delete
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.models.updateData
  • bigquery.models.updateMetadata
  • bigquery.models.updateTag

bigquery.routines.*

  • bigquery.routines.create
  • bigquery.routines.delete
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.routines.update
  • bigquery.routines.updateTag

bigquery.rowAccessPolicies.create

bigquery.rowAccessPolicies.delete

bigquery.rowAccessPolicies.getIamPolicy

bigquery.rowAccessPolicies.list

bigquery.rowAccessPolicies.setIamPolicy

bigquery.rowAccessPolicies.update

bigquery.tables.*

  • bigquery.tables.create
  • bigquery.tables.createIndex
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.deleteIndex
  • bigquery.tables.deleteSnapshot
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.setCategory
  • bigquery.tables.setIamPolicy
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag

resourcemanager.projects.get

resourcemanager.projects.list

(roles/bigquery.dataViewer)

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten aus der Tabelle oder Ansicht lesen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Metadaten des Datasets lesen und Tabellen im Dataset auflisten.
  • Daten und Metadaten aus den Tabellen des Datasets lesen.

Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht diese Rolle die Aufzählung aller Datasets im Projekt. Für die Ausführung von Jobs sind jedoch weitere Rollen erforderlich.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Tabelle
  • Ansehen

bigquery.datasets.get

bigquery.datasets.getIamPolicy

bigquery.models.export

bigquery.models.getData

bigquery.models.getMetadata

bigquery.models.list

bigquery.routines.get

bigquery.routines.list

bigquery.tables.createSnapshot

bigquery.tables.export

bigquery.tables.get

bigquery.tables.getData

bigquery.tables.getIamPolicy

bigquery.tables.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/bigquery.filteredDataViewer)

Ermöglicht das Ansehen von gefilterten Tabellendaten, die durch eine Zugriffsrichtlinie für Zeilen definiert werden

Enthält 1 Inhaberberechtigung

bigquery.rowAccessPolicies.getFilteredData

(roles/bigquery.jobUser)

Berechtigungen zum Ausführen von Jobs im Projekt, einschließlich Abfragen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt

bigquery.config.get

bigquery.jobs.create

resourcemanager.projects.get

resourcemanager.projects.list

(roles/bigquery.metadataViewer)

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Metadaten aus der Tabelle oder Ansicht lesen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Tabellen und Ansichten im Dataset auflisten.
  • Metadaten aus den Tabellen und Ansichten des Datasets lesen.

Bei Anwendung auf Projekt- oder Organisationsebene gewährt diese Rolle Berechtigungen für:

  • Alle Datasets auflisten und Metadaten für alle Datasets im Projekt lesen.
  • Alle Tabellen und Ansichten auflisten sowie Metadaten für alle Tabellen und Ansichten im Projekt lesen

Für die Ausführung von Jobs sind weitere Rollen erforderlich.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Tabelle
  • Ansehen

bigquery.datasets.get

bigquery.datasets.getIamPolicy

bigquery.models.getMetadata

bigquery.models.list

bigquery.routines.get

bigquery.routines.list

bigquery.tables.get

bigquery.tables.getIamPolicy

bigquery.tables.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/bigquery.readSessionUser)

Zugriff zum Erstellen und Verwenden von Lesesitzungen

bigquery.readsessions.*

  • bigquery.readsessions.create
  • bigquery.readsessions.getData
  • bigquery.readsessions.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/bigquery.resourceAdmin)

Verwalten Sie alle BigQuery-Ressourcen.

Enthält 3 Inhaberberechtigungen

bigquery.bireservations.*

  • bigquery.bireservations.get
  • bigquery.bireservations.update

bigquery.capacityCommitments.*

  • bigquery.capacityCommitments.create
  • bigquery.capacityCommitments.delete
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.capacityCommitments.update

bigquery.jobs.get

bigquery.jobs.list

bigquery.jobs.listAll

bigquery.jobs.listExecutionMetadata

bigquery.reservationAssignments.*

  • bigquery.reservationAssignments.create
  • bigquery.reservationAssignments.delete
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search

bigquery.reservations.*

  • bigquery.reservations.create
  • bigquery.reservations.delete
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.reservations.update

recommender.bigqueryCapacityCommitmentsInsights.*

  • recommender.bigqueryCapacityCommitmentsInsights.get
  • recommender.bigqueryCapacityCommitmentsInsights.list
  • recommender.bigqueryCapacityCommitmentsInsights.update

recommender.bigqueryCapacityCommitmentsRecommendations.*

  • recommender.bigqueryCapacityCommitmentsRecommendations.get
  • recommender.bigqueryCapacityCommitmentsRecommendations.list
  • recommender.bigqueryCapacityCommitmentsRecommendations.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/bigquery.resourceEditor)

Kann alle BigQuery-Ressourcen verwalten, aber keine Kaufentscheidungen treffen.

Enthält 1 Inhaberberechtigung

bigquery.bireservations.get

bigquery.capacityCommitments.get

bigquery.capacityCommitments.list

bigquery.jobs.get

bigquery.jobs.list

bigquery.jobs.listAll

bigquery.jobs.listExecutionMetadata

bigquery.reservationAssignments.*

  • bigquery.reservationAssignments.create
  • bigquery.reservationAssignments.delete
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search

bigquery.reservations.*

  • bigquery.reservations.create
  • bigquery.reservations.delete
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.reservations.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/bigquery.resourceViewer)

Kann alle BigQuery-Ressourcen betrachten, aber keine Änderungen vornehmen oder Kaufentscheidungen treffen.

Enthält 1 Inhaberberechtigung

bigquery.bireservations.get

bigquery.capacityCommitments.get

bigquery.capacityCommitments.list

bigquery.jobs.get

bigquery.jobs.list

bigquery.jobs.listAll

bigquery.jobs.listExecutionMetadata

bigquery.reservationAssignments.list

bigquery.reservationAssignments.search

bigquery.reservations.get

bigquery.reservations.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/bigquery.user)

Bei Anwendung auf ein Dataset ermöglicht diese Rolle das Lesen der Metadaten des Datasets und das Auflisten von Tabellen im Dataset.

Bei Anwendung auf ein Projekt bietet diese Rolle auch die Möglichkeit, Jobs, einschließlich Abfragen, innerhalb des Projekts auszuführen. Ein Hauptkonto mit dieser Rolle kann seine eigenen Jobs auflisten, seine eigenen Jobs abbrechen und Datasets innerhalb eines Projekts aufzählen. Darüber hinaus ermöglicht die Rolle das Erstellen neuer Datasets im Projekt. Dem Ersteller wird für diese neuen Datasets die Rolle "BigQuery Data-Inhaber" (roles/bigquery.dataOwner) zugewiesen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Dataset

bigquery.bireservations.get

bigquery.capacityCommitments.get

bigquery.capacityCommitments.list

bigquery.config.get

bigquery.datasets.create

bigquery.datasets.get

bigquery.datasets.getIamPolicy

bigquery.jobs.create

bigquery.jobs.list

bigquery.models.list

bigquery.readsessions.*

  • bigquery.readsessions.create
  • bigquery.readsessions.getData
  • bigquery.readsessions.update

bigquery.reservationAssignments.list

bigquery.reservationAssignments.search

bigquery.reservations.get

bigquery.reservations.list

bigquery.routines.list

bigquery.savedqueries.get

bigquery.savedqueries.list

bigquery.tables.list

bigquery.transfers.get

bigquerymigration.translation.translate

resourcemanager.projects.get

resourcemanager.projects.list

(roles/bigquerydatapolicy.maskedReader)

Maskierter Lesezugriff auf Unterressourcen, die durch das Richtlinien-Tag getaggt sind, das einer Datenrichtlinie zugeordnet ist, z. B. BigQuery-Spalten

Enthält 1 Inhaberberechtigung

bigquery.dataPolicies.maskedGet

Benutzerdefinierte BigQuery-Rollen

Folgen Sie zum Erstellen einer benutzerdefinierten IAM-Rolle für BigQuery der Anleitung in der IAM-Dokumentation zu benutzerdefinierten Rollen.

Einfache BigQuery-Rollen

Informationen zu einfachen BigQuery-Rollen finden Sie unter Einfache Rollen und Berechtigungen für BigQuery.

Nächste Schritte