Descripción general
BigQuery utiliza la Administración de identidades y accesos (IAM) para administrar el acceso a los recursos. Los tres tipos de recursos disponibles en BigQuery son organizaciones, proyectos y conjuntos de datos. En la jerarquía de políticas de IAM, los conjuntos de datos son recursos secundarios de los proyectos. Las tablas y las vistas son recursos secundarios de los conjuntos de datos y heredan permisos del conjunto de datos principal.
A fin de otorgar acceso a un recurso, asigna una o más funciones a un usuario, grupo o cuenta de servicio. Las funciones de organización y proyecto afectan la capacidad para ejecutar trabajos o administrar los recursos del proyecto, mientras que las funciones de conjunto de datos afectan la capacidad para acceder a los datos dentro de un conjunto de datos en particular o para modificarlos
IAM proporciona dos tipos de funciones: predefinidas y básicas. Cuando asignas funciones predefinidas y básicas a un usuario, los permisos otorgados son una unión de los permisos de cada función.
Permisos y funciones
Matriz de comparación de funciones predefinidas
Puedes asignar las siguientes funciones predefinidas de BigQuery.
| Capacidad | dataViewer |
dataEditor |
dataOwner |
metadataViewer |
user |
jobUser |
admin |
|---|---|---|---|---|---|---|---|
| Enumerar/obtener proyectos | |||||||
| Enumerar tablas | |||||||
| Obtener metadatos de tablas | |||||||
| Obtener datos de tablas | |||||||
| Crear tablas | |||||||
| Modificar/borrar tablas | |||||||
| Obtener metadatos de conjuntos de datos | |||||||
| Crear conjuntos de datos nuevos | |||||||
| Modificar/borrar conjuntos de datos | Conjuntos de datos autocreados |
||||||
| Crear trabajos/consultas | |||||||
| Obtener trabajos | Trabajos autocreados |
Cualquier trabajo | |||||
| Enumerar trabajos | Cualquier trabajo (se ocultan los trabajos de otros usuarios) | Cualquier trabajo | |||||
| Cancelar trabajos | Trabajos autocreados |
Trabajos autocreados |
Cualquier trabajo | ||||
| Obtener/enumerar consultas guardadas | |||||||
| Crear/actualizar/borrar consultas guardadas | |||||||
| Obtener transferencias | |||||||
| Crear/actualizar/borrar transferencias |
Permisos
En la siguiente tabla, se describen los permisos disponibles en BigQuery.
| Permiso | Descripción |
|---|---|
bigquery.jobs.create |
Crea trabajos nuevos. |
bigquery.jobs.listAll |
Enumera todos los trabajos y recupera los metadatos de cualquier trabajo enviado por un usuario.* |
bigquery.jobs.list |
Enumera todos los trabajos y recupera los metadatos de cualquier trabajo enviado por un usuario.* Para los trabajos que enviaron otros usuarios, se ocultan los detalles y los metadatos. |
bigquery.jobs.get |
Obtiene los datos y los metadatos de cualquier trabajo.* |
bigquery.jobs.update |
Cancela cualquier trabajo.* |
bigquery.datasets.create |
Crea conjuntos de datos vacíos nuevos. |
bigquery.datasets.delete |
Borra un conjunto de datos. |
bigquery.datasets.get |
Obtiene los metadatos sobre un conjunto de datos. |
bigquery.datasets.update |
Actualiza los metadatos para un conjunto de datos. |
bigquery.tables.create |
Crea tablas nuevas. |
bigquery.tables.list |
Enumera las tablas y los metadatos de las tablas. |
bigquery.tables.delete |
Borra las tablas. |
bigquery.tables.get |
Obtiene los metadatos de las tablas. Para obtener los datos de las tablas, necesitas bigquery.tables.getData. |
bigquery.tables.getData |
Obtiene los datos de las tablas. Para obtener los metadatos de las tablas, necesitas bigquery.tables.get. |
bigquery.tables.export |
Exporta los datos de las tablas fuera de BigQuery. |
bigquery.tables.update |
Actualiza los metadatos de las tablas. |
bigquery.tables.updateData |
Actualiza los datos de las tablas. |
bigquery.transfers.get |
Obtiene los metadatos de las transferencias. |
bigquery.transfers.update |
Crea, actualiza y borra las transferencias. |
bigquery.savedqueries.create |
Crea consultas guardadas. |
bigquery.savedqueries.get |
Obtiene los metadatos de las consultas guardadas. |
bigquery.savedqueries.list |
Enumera las consultas guardadas. |
bigquery.savedqueries.update |
Actualiza las consultas guardadas. |
bigquery.savedqueries.delete |
Borra las consultas guardadas. |
* Para cualquier trabajo que crees, automáticamente, tienes el equivalente de los permisos bigquery.jobs.get y bigquery.jobs.update para ese trabajo.
Permisos necesarios para los métodos
En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método:
| Método | Permisos necesarios |
|---|---|
datasets.delete |
bigquery.datasets.deleteSi el conjunto de datos orientado no está vacío, también necesitas bigquery.tables.delete.
|
datasets.get |
bigquery.datasets.get |
datasets.insert |
bigquery.datasets.create |
datasets.list |
Utiliza bigquery.datasets.get para verificar los permisos de los conjuntos de datos que se muestran.
|
datasets.patch |
bigquery.datasets.update |
datasets.update |
bigquery.datasets.update |
jobs.cancel |
bigquery.jobs.updatePuedes cancelar tus propios trabajos sin este permiso. |
jobs.get |
bigquery.jobs.getPuedes obtener tus propios trabajos sin este permiso. |
jobs.getQueryResults |
bigquery.jobs.getA fin de obtener los resultados del trabajo, necesitas los permisos bigquery.jobs.get o necesitas ser el propietario del trabajo. Además, tienes que ser el propietario de la tabla en la que se escriben los resultados del trabajo.
|
jobs.insert |
bigquery.jobs.create para comenzar el trabajo.Es posible que se necesiten permisos adicionales para completar el trabajo. |
jobs.list |
bigquery.jobs.list para mostrar todos los trabajos de todos los usuarios. Los detalles y los metadatos de los trabajos que envían otros usuarios se ocultan. bigquery.jobs.listAll para mostrar los detalles de todos los trabajos de todos los usuarios que utilizan el parámetro allUsers=true. |
jobs.query |
bigquery.jobs.create para comenzar el trabajo.Es posible que se necesiten permisos adicionales para completar el trabajo. |
projects.list |
resourcemanager.projects.get |
tabledata.insertAll |
bigquery.tables.updateData |
tabledata.list |
bigquery.tables.getData |
tables.delete |
bigquery.tables.delete |
tables.get |
bigquery.tables.get |
tables.insert |
bigquery.tables.createSi el método crea una vista, también necesita los permisos bigquery.tables.getData para todas las tablas a las que se hace referencia en la vista.
|
tables.list |
bigquery.tables.list |
tables.patch |
bigquery.tables.update |
tables.update |
bigquery.tables.updateSi el método actualiza una vista, también necesita los permisos bigquery.tables.getData para todas las tablas a las que se hace referencia en la vista. Si la vista ya está autorizada en el conjunto de datos, el método también necesita bigquery.datasets.update en todos los conjuntos de datos asociados con las tablas.
|
projects.transferConfigs.create |
bigquery.transfers.update |
projects.transferConfigs.get |
bigquery.transfers.get |
projects.transferConfigs.patch |
bigquery.transfers.update |
Funciones
En la siguiente tabla, se enumeran las funciones de IAM de la API de Google BigQuery junto con la lista correspondiente de todos los permisos que se incluyen en cada función. Ten en cuenta que cada permiso es aplicable a un tipo de recurso específico.
| Función | Permisos incluidos: | Para el tipo de recurso: |
|---|---|---|
roles/bigquery.metadataViewer |
resourcemanager.projects.get |
Organización |
resourcemanager.projects.list |
Organización | |
bigquery.datasets.get |
Conjunto de datos | |
bigquery.tables.list |
Conjunto de datos | |
bigquery.tables.get |
Conjunto de datos | |
roles/bigquery.dataViewer |
Todos los mencionados con anterioridad, así como: | |
bigquery.tables.getData |
Conjunto de datos | |
bigquery.tables.export |
Conjunto de datos | |
roles/bigquery.dataEditor |
Todos los mencionados con anterioridad, así como: | |
bigquery.datasets.create |
Proyecto | |
bigquery.tables.create |
Conjunto de datos | |
bigquery.tables.delete |
Conjunto de datos | |
bigquery.tables.update |
Conjunto de datos | |
bigquery.tables.updateData |
Conjunto de datos | |
roles/bigquery.dataOwner |
Todos los mencionados con anterioridad, así como: | |
bigquery.datasets.delete |
Proyecto | |
bigquery.datasets.update |
Conjunto de datos | |
roles/bigquery.user |
resourcemanager.projects.get |
Organización |
resourcemanager.projects.list |
Organización | |
bigquery.jobs.create |
Proyecto | |
bigquery.jobs.list |
Proyecto | |
bigquery.datasets.create |
Proyecto | |
bigquery.datasets.get |
Proyecto | |
bigquery.tables.list |
Proyecto | |
bigquery.transfers.get |
Proyecto | |
bigquery.savedqueries.get |
Proyecto | |
bigquery.savedqueries.list |
Proyecto | |
roles/bigquery.jobUser |
resourcemanager.projects.get |
Organización |
bigquery.jobs.create |
Proyecto | |
roles/bigquery.admin |
Todos los permisos de otras funciones, así como: | |
bigquery.jobs.get |
Proyecto | |
bigquery.jobs.listAll |
Proyecto | |
bigquery.jobs.update |
Proyecto | |
bigquery.savedqueries.create |
Proyecto | |
bigquery.savedqueries.delete |
Proyecto | |
bigquery.savedqueries.update |
Proyecto | |
bigquery.transfers.update |
Proyecto | |
Detalles de las funciones predefinidas
| Detalles de las funciones predefinidas | |
|---|---|
|
Permisos para ejecutar trabajos, incluidas consultas, dentro del proyecto. La mayoría de los individuos (analistas/científicos de datos) en una empresa deben ser usuarios. La función de usuario puede enumerar sus propios trabajos, cancelar sus propios trabajos y enumerar conjuntos de datos dentro de un proyecto. Además, permite la creación de nuevos conjuntos de datos dentro del proyecto; al creador se le otorga la función Razón: Esta función permite separar el acceso a los datos de la capacidad para ejecutar el trabajo en el proyecto, lo cual es útil cuando los miembros del equipo consultan datos de varios proyectos. La enumeración del conjunto de datos y la tabla se incluye como una forma de ayudar a los usuarios a descubrir posibles fuentes de datos. Tipos de recursos:
|
|
Permisos para ejecutar trabajos, incluidas consultas, dentro del proyecto. La función de jobUser puede obtener información sobre sus propios trabajos y cancelar sus propios trabajos. Razón: Esta función permite separar el acceso a los datos de la capacidad para ejecutar el trabajo en el proyecto, lo cual es útil cuando los miembros del equipo consultan datos de varios proyectos. Esta función no permite el acceso a ningún dato de BigQuery. Si se requiere acceso a los datos, otorga controles de acceso a nivel del conjunto de datos. Tipos de recursos:
|
|
Cuando se aplica a un conjunto de datos, dataViewer proporciona permisos para lo siguiente:
Cuando se aplica a nivel del proyecto o de la organización, esta función también puede enumerar todos los conjuntos de datos en el proyecto. Sin embargo, se requieren funciones adicionales para permitir la ejecución de los trabajos. Por ejemplo, un usuario que simplemente tiene permisos bigquery.dataViewer en un conjunto de datos sin ningún otro permiso solo puede enumerar las tablas en el conjunto de datos y utilizar las API de get() para leer el contenido de las tablas. El usuario no puede consultar los datos sin permisos adicionales. Si deseas un ejemplo de un usuario con permisos para ejecutar consultas, considera la siguiente situación. Un usuario que tiene permisos de Para las fuentes de datos externas que residen fuera del almacenamiento de BigQuery, es posible que se necesiten permisos adicionales para esas fuentes de datos que no son de BigQuery. Razón: La función de dataViewer está diseñada para el acceso a datos de solo lectura. La función de dataViewer puede acceder a los datos, pero se necesitan permisos adicionales, como los que otorgan las funciones de bigquery.user o bigquery.admin, para emitir trabajos de consulta. La función de dataViewer no tiene la capacidad de generar costos. Tipos de recursos:
|
|
Cuando se aplica a nivel del proyecto o de la organización, metadataViewer proporciona permisos para lo siguiente:
Se requieren funciones adicionales para ejecutar trabajos. Razón: La función de metadataViewer está diseñada para el acceso de solo metadatos. La función de metadataViewer puede acceder al conjunto de datos y la tabla, y ver los metadatos, pero se necesitan permisos adicionales, como los que otorga la función de bigquery.user, para ejecutar trabajos de consulta. Tipos de recursos:
|
|
Cuando se aplica a un conjunto de datos, dataEditor proporciona permisos para lo siguiente:
Cuando se aplica a nivel del proyecto o de la organización, esta función también puede crear conjuntos de datos nuevos. Razón: La función de dataEditor amplía Tipos de recursos:
|
|
Cuando se aplica a un conjunto de datos, dataOwner proporciona permisos para lo siguiente:
Cuando se aplica a nivel del proyecto o de la organización, esta función también puede crear conjuntos de datos nuevos. Razón: La función de dataOwner amplía Tipos de recursos:
|
|
Permisos para administrar todos los recursos dentro del proyecto. Puedes administrar todos los datos dentro del proyecto y puedes cancelar trabajos de otros usuarios que se ejecutan dentro del proyecto. Razón: Esta es la función de nivel más alto con las responsabilidades más amplias, el superusuario que brinda asistencia a sus colegas mientras realizan varios análisis. Tipos de recursos:
|
Funciones personalizadas
Además de las funciones predefinidas, BigQuery también admite funciones personalizadas. Si deseas obtener más información, consulta Cómo crear y administrar funciones personalizadas en la documentación de Cloud IAM.
Permisos no admitidos
Los siguientes permisos solo se pueden asignar a funciones personalizadas a nivel de la organización. No tienen efecto a nivel del proyecto o en un nivel inferior.
resourcemanager.projects.list
Es posible que, en el futuro, se modifiquen los siguientes permisos de una manera que genere incompatibilidad con las versiones anteriores, y tales permisos no se recomiendan para el uso en la producción. No están sujetos a ningún ANS o política de baja del servicio.
bigquery.config.getbigquery.config.update
Funciones básicas de IAM
Las funciones básicas de IAM se asignan directamente a las funciones heredadas del proyecto de visor/editor/propietario de BigQuery y las funciones de conjuntos de datos de lector/escritor/propietario.
Cómo realizar la transición de funciones básicas
Para los usuarios que están más familiarizados con la configuración de autorización heredada, BigQuery expuso una combinación de funciones básicas como permisos a nivel del proyecto (lector, escritor, propietario).
Por motivos de compatibilidad, los permisos heredados a nivel del conjunto de datos se asignan directamente a las funciones predefinidas equivalentes.
| Permisos heredados de BigQuery | Equivalente de IAM |
|---|---|
| Proyecto: Poder ver | Función básica: Visor |
| Proyecto: Poder editar | Función básica: Editor |
| Proyecto: Es propietario | Función básica: Propietario |
| Conjunto de datos: LECTOR | bigquery.dataViewer |
| Conjunto de datos: ESCRITOR | bigquery.dataEditor |
| Conjunto de datos: PROPIETARIO | bigquery.dataOwner |
Funciones básicas para proyectos
Según la configuración predeterminada, la asignación de acceso a un proyecto también otorga acceso a los conjuntos de datos en su interior. El acceso predeterminado puede anularse en cada conjunto de datos. Cualquier usuario con la función de Owner del proyecto tiene la capacidad de revocar o cambiar cualquier función del proyecto.
Cuando se crea un proyecto, BigQuery otorga la función de Owner al usuario que lo creó.
| Función básica | Capacidades |
|---|---|
Viewer |
|
Editor |
|
Owner |
|
Las funciones básicas para proyectos se asignan o revocan a través de Google Cloud Platform Console. Debes tener acceso de Owner al proyecto para asignar o revocar una función de proyecto nueva.
Si deseas obtener más información sobre cómo otorgar o revocar acceso a funciones del proyecto, consulta Cómo administrar miembros del proyecto.
Funciones básicas para conjuntos de datos
En cierto aspecto, las funciones básicas para conjuntos de datos son equivalentes a las funciones predefinidas que se describen en Cómo realizar la transición de funciones básicas.
Las funciones de conjuntos de datos pueden asignarse a los siguientes tipos de entidades:
| Tipo de entidad | API |
|---|---|
| Usuarios individuales, por dirección de correo electrónico | access.userByEmail |
| Un grupo de Google, por dirección de correo electrónico | access.groupByEmail |
| Un grupo predefinido de usuarios, como todos los usuarios, o un grupo de usuarios que tienen la misma función de proyecto para el proyecto que contiene el conjunto de datos. | access.specialGroup |
Las siguientes funciones básicas se aplican a los conjuntos de datos:
| Función del conjunto de datos | Capacidades |
|---|---|
READER |
|
WRITER |
|
OWNER |
Nota: Un conjunto de datos debe tener al menos una entidad con la función |
Cuando creas un conjunto de datos nuevo, BigQuery agrega acceso predeterminado al conjunto de datos para las siguientes entidades. Las funciones que especificas en la creación del conjunto de datos reemplazan los valores predeterminados.
| Entidad | Función del conjunto de datos |
|---|---|
Todos los usuarios con acceso de Viewer al proyecto |
READER |
Todos los usuarios con acceso de Editor al proyecto |
WRITER |
Todos los usuarios con acceso de Owner al proyecto |
Excepción: Cuando un usuario ejecuta una consulta, se crea un conjunto de datos anónimo para almacenar la tabla de resultados en caché. Solo al usuario que ejecuta la consulta se le otorga acceso de |
Las funciones del conjunto de datos se asignan o revocan mediante el uso de una de las siguientes opciones:
- A través de la API de BigQuery mediante update
- A través de la IU web, cuando se hace clic en el menú desplegable junto al nombre del conjunto de datos y, a continuación, se hace clic en Compartir conjunto de datos
- A través de la herramienta de línea de comandos "bq" mediante el uso del comando "bq update". Utiliza la marca "--source" para especificar un archivo JSON que contenga un recurso de "dataset" parcial con el campo "access" configurado.
Situaciones de ejemplo
En los siguientes ejemplos, se incluye un grupo de científicos de datos que pertenecen a un grupo de Google denominado AnalystGroup.
Acceso de lectura y escritura a los datos de un conjunto de datos
CompanyProject es un proyecto que incluye los conjuntos de datos dataset1 y dataset2. AnalystGroup1 es un grupo de científicos de datos que trabajan solamente en dataset1, y AnalystGroup2 es un grupo que trabaja solo en dataset2. Los científicos de datos deben tener acceso completo al conjunto de datos en el que trabajan, lo que incluye el acceso para ejecutar consultas sobre los datos.
| Acceso de lectura y escritura a un conjunto de datos | |
|---|---|
| En el conjunto de datos CompanyProject:dataset1 | Otorga acceso de WRITER a AnalystGroup1 en dataset1. Esta función se asigna a la función predefinida de IAM: bigquery.dataEditor. |
| En el conjunto de datos CompanyProject:dataset2 | Otorga acceso de WRITER a AnalystGroup2 en dataset2. Esta función se asigna a la función predefinida de IAM: bigquery.dataEditor. |
| En el proyecto CompanyProject | Otorga acceso de bigquery.user a AnalystGroup1 y AnalystGroup2 en CompanyProject. |
Otorgar el acceso de WRITER a los científicos de datos a nivel del conjunto de datos les brinda la capacidad de consultar datos en las tablas del conjunto de datos, pero no les otorga permisos para ejecutar trabajos de consulta en el proyecto. Para poder ejecutar trabajos de consulta en el conjunto de datos al que se les ha dado acceso, a los grupos de científicos de datos se les debe otorgar la función predefinida a nivel del proyecto bigquery.user. La función bigquery.user otorga los permisos bigquery.jobs.create.
También puedes agregar los grupos de científicos de datos a una función personalizada de IAM a nivel del proyecto que otorgue permisos de bigquery.jobs.create.
Acceso completo a los datos en un proyecto
AnalystGroup es un grupo de científicos de datos que trabajan en BigQuery y son responsables de todas las facetas de su uso dentro de un proyecto denominado CompanyProject. El grupo prefiere que todos los miembros tengan acceso de lectura y escritura a todos los datos. Otros grupos en la organización trabajan con otros productos de Cloud Platform, pero nadie más interactúa con BigQuery. AnalystGroup no utiliza ningún otro servicio de Cloud Platform.
| Acceso completo a los datos en un proyecto | |
|---|---|
| En el proyecto CompanyProject | Agrega AnalystGroup a la función predefinida bigquery.admin. |
Acceso completo en toda una organización
CompanyA es una organización que desea que una persona específica, denominada Admin1, sea el administrador de todos los datos de BigQuery en todos los proyectos. MonitoringServiceAccount es una cuenta de servicio que es responsable de supervisar el tamaño de todas las tablas en todos los proyectos de la organización.
| Acceso completo en toda una organización | |
|---|---|
| En la organización CompanyA |
|
Si la empresa decide que MonitoringServiceAccount también debe reducir las tablas que superen determinado tamaño y quitar los datos más antiguos que un período específico, MonitoringServiceAccount debe agregarse a la función predefinida bigquery.user.
Acceso de lectura a los datos en el mismo proyecto
AnalystGroup es un conjunto de científicos de datos responsables de los servicios de estadísticas dentro de un proyecto denominado CompanyProject. OperationsServiceAccount es una cuenta de servicio que es responsable de cargar los registros de la aplicación en BigQuery a través de trabajos de carga masiva en un conjunto de datos específico en CompanyProject:AppLogs. Los analistas no están autorizados a modificar los registros.
| Acceso de lectura a los datos en el mismo proyecto | |
|---|---|
| En el proyecto CompanyProject |
|
| En el conjunto de datos CompanyProject:AppLogs |
|
Acceso de lectura a los datos en un proyecto diferente
AnalystGroup es un conjunto de científicos de datos responsable de los servicios de estadísticas dentro de un proyecto denominado CompanyProject. Sin embargo, los datos que analizan residen en un proyecto separado denominado CompanyLogs. OperationsServiceAccount es una cuenta de servicio que es responsable de cargar los registros de la aplicación en BigQuery a través de trabajos de carga masiva en una variedad de conjuntos de datos en el proyecto CompanyLogs.
AnalystGroup solo puede leer los datos en el proyecto CompanyLogs y no puede crear almacenamiento adicional ni ejecutar ningún trabajo de consulta en ese proyecto. En cambio, los analistas utilizan el proyecto CompanyAnalytics para realizar su trabajo y mantienen los resultados dentro del proyecto CompanyAnalytics.
| Acceso de lectura a los datos en un proyecto diferente | |
|---|---|
| En el proyecto CompanyLogs |
|
| En el proyecto CompanyAnalytics |
|
Manipulación programática de funciones
Puedes utilizar los siguientes métodos para manipular las funciones predefinidas a nivel del conjunto de datos,
el proyecto y la organización de manera programática.
Para los conjuntos de datos, las operaciones dataset.insert, dataset.update y dataset.patch permiten la configuración de funciones detalladas en conjuntos de datos individuales a través del campo de acceso.
Para la configuración a nivel del proyecto y la organización, utiliza organizations.setIamPolicy y projects.setIamPolicy a fin de agregar y quitar usuarios y cuentas de servicios de las funciones de IAM.
Si necesitas ayuda, visita nuestra