Control de acceso

Descripción general

BigQuery utiliza la Administración de identidades y accesos (IAM) para administrar el acceso a los recursos. Los tres tipos de recursos disponibles en BigQuery son organizaciones, proyectos y conjuntos de datos. En la jerarquía de políticas de IAM, los conjuntos de datos son recursos secundarios de los proyectos. Las tablas y las vistas son recursos secundarios de los conjuntos de datos y heredan permisos del conjunto de datos principal.

A fin de otorgar acceso a un recurso, asigna una o más funciones a un usuario, grupo o cuenta de servicio. Las funciones de organización y proyecto afectan la capacidad para ejecutar trabajos o administrar los recursos del proyecto, mientras que las funciones de conjunto de datos afectan la capacidad para acceder a los datos dentro de un conjunto de datos en particular o para modificarlos

IAM proporciona dos tipos de funciones: predefinidas y básicas. Cuando asignas funciones predefinidas y básicas a un usuario, los permisos otorgados son una unión de los permisos de cada función.

Permisos y funciones

Matriz de comparación de funciones predefinidas

Puedes asignar las siguientes funciones predefinidas de BigQuery.

Capacidad dataViewer dataEditor dataOwner metadataViewer user jobUser admin
Enumerar/obtener proyectos
Enumerar tablas
Obtener metadatos de tablas
Obtener datos de tablas
Crear tablas
Modificar/borrar tablas
Obtener metadatos de conjuntos de datos
Crear conjuntos de datos nuevos
Modificar/borrar conjuntos de datos Conjuntos de datos
autocreados
Crear trabajos/consultas
Obtener trabajos Trabajos
autocreados
Cualquier trabajo
Enumerar trabajos Cualquier trabajo (se ocultan los trabajos de otros usuarios) Cualquier trabajo
Cancelar trabajos Trabajos
autocreados
Trabajos
autocreados
Cualquier trabajo
Obtener/enumerar consultas guardadas
Crear/actualizar/borrar consultas guardadas
Obtener transferencias
Crear/actualizar/borrar transferencias

Permisos

En la siguiente tabla, se describen los permisos disponibles en BigQuery.

Permiso Descripción
bigquery.jobs.create Crea trabajos nuevos.
bigquery.jobs.listAll Enumera todos los trabajos y recupera los metadatos de cualquier trabajo enviado por un usuario.*
bigquery.jobs.list Enumera todos los trabajos y recupera los metadatos de cualquier trabajo enviado por un usuario.* Para los trabajos que enviaron otros usuarios, se ocultan los detalles y los metadatos.
bigquery.jobs.get Obtiene los datos y los metadatos de cualquier trabajo.*
bigquery.jobs.update Cancela cualquier trabajo.*
bigquery.datasets.create Crea conjuntos de datos vacíos nuevos.
bigquery.datasets.delete Borra un conjunto de datos.
bigquery.datasets.get Obtiene los metadatos sobre un conjunto de datos.
bigquery.datasets.update Actualiza los metadatos para un conjunto de datos.
bigquery.tables.create Crea tablas nuevas.
bigquery.tables.list Enumera las tablas y los metadatos de las tablas.
bigquery.tables.delete Borra las tablas.
bigquery.tables.get Obtiene los metadatos de las tablas.
Para obtener los datos de las tablas, necesitas bigquery.tables.getData.
bigquery.tables.getData Obtiene los datos de las tablas.
Para obtener los metadatos de las tablas, necesitas bigquery.tables.get.
bigquery.tables.export Exporta los datos de las tablas fuera de BigQuery.
bigquery.tables.update

Actualiza los metadatos de las tablas.
Para actualizar los datos de las tablas, necesitas bigquery.tables.updateData.

bigquery.tables.updateData

Actualiza los datos de las tablas.
Para actualizar los metadatos de las tablas, necesitas bigquery.tables.update.

bigquery.transfers.get Obtiene los metadatos de las transferencias.
bigquery.transfers.update Crea, actualiza y borra las transferencias.
bigquery.savedqueries.create Crea consultas guardadas.
bigquery.savedqueries.get Obtiene los metadatos de las consultas guardadas.
bigquery.savedqueries.list Enumera las consultas guardadas.
bigquery.savedqueries.update Actualiza las consultas guardadas.
bigquery.savedqueries.delete Borra las consultas guardadas.

* Para cualquier trabajo que crees, automáticamente, tienes el equivalente de los permisos bigquery.jobs.get y bigquery.jobs.update para ese trabajo.

Permisos necesarios para los métodos

En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método:

Método Permisos necesarios
datasets.delete bigquery.datasets.delete
Si el conjunto de datos orientado no está vacío, también necesitas bigquery.tables.delete.
datasets.get bigquery.datasets.get
datasets.insert bigquery.datasets.create
datasets.list Utiliza bigquery.datasets.get para verificar los permisos de los conjuntos de datos que se muestran.
datasets.patch bigquery.datasets.update
datasets.update bigquery.datasets.update
jobs.cancel bigquery.jobs.update
Puedes cancelar tus propios trabajos sin este permiso.
jobs.get bigquery.jobs.get
Puedes obtener tus propios trabajos sin este permiso.
jobs.getQueryResults bigquery.jobs.get
A fin de obtener los resultados del trabajo, necesitas los permisos bigquery.jobs.get o necesitas ser el propietario del trabajo. Además, tienes que ser el propietario de la tabla en la que se escriben los resultados del trabajo.
jobs.insert bigquery.jobs.create para comenzar el trabajo.
Es posible que se necesiten permisos adicionales para completar el trabajo.
jobs.list bigquery.jobs.list para mostrar todos los trabajos de todos los usuarios. Los detalles y los metadatos de los trabajos que envían otros usuarios se ocultan. bigquery.jobs.listAll para mostrar los detalles de todos los trabajos de todos los usuarios que utilizan el parámetro allUsers=true.
jobs.query bigquery.jobs.create para comenzar el trabajo.
Es posible que se necesiten permisos adicionales para completar el trabajo.
projects.list resourcemanager.projects.get
tabledata.insertAll bigquery.tables.updateData
tabledata.list bigquery.tables.getData
tables.delete bigquery.tables.delete
tables.get bigquery.tables.get
tables.insert bigquery.tables.create
Si el método crea una vista, también necesita los permisos bigquery.tables.getData para todas las tablas a las que se hace referencia en la vista.
tables.list bigquery.tables.list
tables.patch bigquery.tables.update
tables.update bigquery.tables.update
Si el método actualiza una vista, también necesita los permisos bigquery.tables.getData para todas las tablas a las que se hace referencia en la vista. Si la vista ya está autorizada en el conjunto de datos, el método también necesita bigquery.datasets.update en todos los conjuntos de datos asociados con las tablas.
projects.transferConfigs.create bigquery.transfers.update
projects.transferConfigs.get bigquery.transfers.get
projects.transferConfigs.patch bigquery.transfers.update

Funciones

En la siguiente tabla, se enumeran las funciones de IAM de la API de Google BigQuery junto con la lista correspondiente de todos los permisos que se incluyen en cada función. Ten en cuenta que cada permiso es aplicable a un tipo de recurso específico.

Función Permisos incluidos: Para el tipo de recurso:
roles/bigquery.metadataViewer
resourcemanager.projects.get Organización
resourcemanager.projects.list Organización
bigquery.datasets.get Conjunto de datos
bigquery.tables.list Conjunto de datos
bigquery.tables.get Conjunto de datos
roles/bigquery.dataViewer
Todos los mencionados con anterioridad, así como:
bigquery.tables.getData Conjunto de datos
bigquery.tables.export Conjunto de datos
roles/bigquery.dataEditor
Todos los mencionados con anterioridad, así como:
bigquery.datasets.create Proyecto
bigquery.tables.create Conjunto de datos
bigquery.tables.delete Conjunto de datos
bigquery.tables.update Conjunto de datos
bigquery.tables.updateData Conjunto de datos
roles/bigquery.dataOwner
Todos los mencionados con anterioridad, así como:
bigquery.datasets.delete Proyecto
bigquery.datasets.update Conjunto de datos
roles/bigquery.user
resourcemanager.projects.get Organización
resourcemanager.projects.list Organización
bigquery.jobs.create Proyecto
bigquery.jobs.list Proyecto
bigquery.datasets.create Proyecto
bigquery.datasets.get Proyecto
bigquery.tables.list Proyecto
bigquery.transfers.get Proyecto
bigquery.savedqueries.get Proyecto
bigquery.savedqueries.list Proyecto
roles/bigquery.jobUser
resourcemanager.projects.get Organización
bigquery.jobs.create Proyecto
roles/bigquery.admin
Todos los permisos de otras funciones, así como:
bigquery.jobs.get Proyecto
bigquery.jobs.listAll Proyecto
bigquery.jobs.update Proyecto
bigquery.savedqueries.create Proyecto
bigquery.savedqueries.delete Proyecto
bigquery.savedqueries.update Proyecto
bigquery.transfers.update Proyecto

Detalles de las funciones predefinidas

Detalles de las funciones predefinidas

roles/bigquery.
user

Permisos para ejecutar trabajos, incluidas consultas, dentro del proyecto. La mayoría de los individuos (analistas/científicos de datos) en una empresa deben ser usuarios. La función de usuario puede enumerar sus propios trabajos, cancelar sus propios trabajos y enumerar conjuntos de datos dentro de un proyecto. Además, permite la creación de nuevos conjuntos de datos dentro del proyecto; al creador se le otorga la función bigquery.dataOwner para estos conjuntos de datos nuevos.

Razón: Esta función permite separar el acceso a los datos de la capacidad para ejecutar el trabajo en el proyecto, lo cual es útil cuando los miembros del equipo consultan datos de varios proyectos. La enumeración del conjunto de datos y la tabla se incluye como una forma de ayudar a los usuarios a descubrir posibles fuentes de datos.

Tipos de recursos:

  • Organización
  • Proyecto

roles/bigquery.
jobUser

Permisos para ejecutar trabajos, incluidas consultas, dentro del proyecto. La función de jobUser puede obtener información sobre sus propios trabajos y cancelar sus propios trabajos.

Razón: Esta función permite separar el acceso a los datos de la capacidad para ejecutar el trabajo en el proyecto, lo cual es útil cuando los miembros del equipo consultan datos de varios proyectos. Esta función no permite el acceso a ningún dato de BigQuery. Si se requiere acceso a los datos, otorga controles de acceso a nivel del conjunto de datos.

Tipos de recursos:

  • Organización
  • Proyecto

roles/bigquery.
dataViewer

Cuando se aplica a un conjunto de datos, dataViewer proporciona permisos para lo siguiente:

  • Leer los metadatos del conjunto de datos y hacer una lista de las tablas del conjunto de datos.
  • Leer datos y metadatos de las tablas del conjunto de datos.

Cuando se aplica a nivel del proyecto o de la organización, esta función también puede enumerar todos los conjuntos de datos en el proyecto. Sin embargo, se requieren funciones adicionales para permitir la ejecución de los trabajos.

Por ejemplo, un usuario que simplemente tiene permisos bigquery.dataViewer en un conjunto de datos sin ningún otro permiso solo puede enumerar las tablas en el conjunto de datos y utilizar las API de get() para leer el contenido de las tablas. El usuario no puede consultar los datos sin permisos adicionales.

Si deseas un ejemplo de un usuario con permisos para ejecutar consultas, considera la siguiente situación. Un usuario que tiene permisos de bigquery.user en projectA, y permisos de bigquery.dataViewer en projectA:dataset1 y projectB:dataset2 puede ejecutar una consulta en projectA que utilice uno o ambos de estos conjuntos de datos.

Para las fuentes de datos externas que residen fuera del almacenamiento de BigQuery, es posible que se necesiten permisos adicionales para esas fuentes de datos que no son de BigQuery.

Razón: La función de dataViewer está diseñada para el acceso a datos de solo lectura. La función de dataViewer puede acceder a los datos, pero se necesitan permisos adicionales, como los que otorgan las funciones de bigquery.user o bigquery.admin, para emitir trabajos de consulta. La función de dataViewer no tiene la capacidad de generar costos.

Tipos de recursos:

  • Organización
  • Proyecto

roles/bigquery.
metadataViewer

Cuando se aplica a nivel del proyecto o de la organización, metadataViewer proporciona permisos para lo siguiente:

  • Enumerar todos los conjuntos de datos y leer los metadatos de todos los conjuntos de datos del proyecto.
  • Enumerar todas las tablas y vistas, y leer los metadatos de todas las tablas y vistas del proyecto.

Se requieren funciones adicionales para ejecutar trabajos.

Razón: La función de metadataViewer está diseñada para el acceso de solo metadatos. La función de metadataViewer puede acceder al conjunto de datos y la tabla, y ver los metadatos, pero se necesitan permisos adicionales, como los que otorga la función de bigquery.user, para ejecutar trabajos de consulta.

Tipos de recursos:

  • Organización
  • Proyecto

roles/bigquery.
dataEditor

Cuando se aplica a un conjunto de datos, dataEditor proporciona permisos para lo siguiente:

  • Leer los metadatos del conjunto de datos y hacer una lista de las tablas del conjunto de datos.
  • Crear, actualizar, obtener y borrar las tablas del conjunto de datos.

Cuando se aplica a nivel del proyecto o de la organización, esta función también puede crear conjuntos de datos nuevos.

Razón: La función de dataEditor amplía bigquery.dataViewer; para ello, emite privilegios de creación, actualización y eliminación de las tablas dentro del conjunto de datos, pero no permite mutaciones del conjunto de datos en sí.

Tipos de recursos:

  • Organización
  • Proyecto
  • Conjunto de datos

roles/bigquery.
dataOwner

Cuando se aplica a un conjunto de datos, dataOwner proporciona permisos para lo siguiente:

  • Leer, actualizar y borrar el conjunto de datos.
  • Crear, actualizar, obtener y borrar las tablas del conjunto de datos.

Cuando se aplica a nivel del proyecto o de la organización, esta función también puede crear conjuntos de datos nuevos.

Razón: La función de dataOwner amplía bigquery.dataEditor; para ello, agrega la capacidad de modificar y borrar el conjunto de datos que contiene.

Tipos de recursos:

  • Organización
  • Proyecto
  • Conjunto de datos

roles/bigquery.
admin

Permisos para administrar todos los recursos dentro del proyecto. Puedes administrar todos los datos dentro del proyecto y puedes cancelar trabajos de otros usuarios que se ejecutan dentro del proyecto.

Razón: Esta es la función de nivel más alto con las responsabilidades más amplias, el superusuario que brinda asistencia a sus colegas mientras realizan varios análisis.

Tipos de recursos:

  • Organización
  • Proyecto

Funciones personalizadas

Además de las funciones predefinidas, BigQuery también admite funciones personalizadas. Si deseas obtener más información, consulta Cómo crear y administrar funciones personalizadas en la documentación de Cloud IAM.

Permisos no admitidos

Los siguientes permisos solo se pueden asignar a funciones personalizadas a nivel de la organización. No tienen efecto a nivel del proyecto o en un nivel inferior.

  • resourcemanager.projects.list

Es posible que, en el futuro, se modifiquen los siguientes permisos de una manera que genere incompatibilidad con las versiones anteriores, y tales permisos no se recomiendan para el uso en la producción. No están sujetos a ningún ANS o política de baja del servicio.

  • bigquery.config.get
  • bigquery.config.update

Funciones básicas de IAM

Las funciones básicas de IAM se asignan directamente a las funciones heredadas del proyecto de visor/editor/propietario de BigQuery y las funciones de conjuntos de datos de lector/escritor/propietario.

Cómo realizar la transición de funciones básicas

Para los usuarios que están más familiarizados con la configuración de autorización heredada, BigQuery expuso una combinación de funciones básicas como permisos a nivel del proyecto (lector, escritor, propietario).

Por motivos de compatibilidad, los permisos heredados a nivel del conjunto de datos se asignan directamente a las funciones predefinidas equivalentes.

Permisos heredados de BigQuery Equivalente de IAM
Proyecto: Poder ver Función básica: Visor
Proyecto: Poder editar Función básica: Editor
Proyecto: Es propietario Función básica: Propietario
Conjunto de datos: LECTOR bigquery.dataViewer
Conjunto de datos: ESCRITOR bigquery.dataEditor
Conjunto de datos: PROPIETARIO bigquery.dataOwner

Funciones básicas para proyectos

Según la configuración predeterminada, la asignación de acceso a un proyecto también otorga acceso a los conjuntos de datos en su interior. El acceso predeterminado puede anularse en cada conjunto de datos. Cualquier usuario con la función de Owner del proyecto tiene la capacidad de revocar o cambiar cualquier función del proyecto.

Cuando se crea un proyecto, BigQuery otorga la función de Owner al usuario que lo creó.

Función básica Capacidades
Viewer
  • Puede iniciar un trabajo en el proyecto. Se requieren funciones del conjunto de datos adicionales según el tipo de trabajo.
  • Puede enumerar y obtener todos los trabajos, y actualizar los trabajos que comenzó para el proyecto.
  • Si creas un conjunto de datos en un proyecto que contiene visores, BigQuery otorga a esos usuarios la función predefinida de bigquery.dataViewer para el conjunto de datos nuevo.
Editor
  • Igual que Viewer, más las siguientes características:
    • Puede crear un conjunto de datos nuevo en el proyecto.
    • Si creas un conjunto de datos en un proyecto que contiene editores, BigQuery asigna a esos usuarios la función predefinida bigquery.dataEditor para el conjunto de datos nuevo.
Owner
  • Igual que Editor, más las siguientes características:
    • Puede enumerar todos los conjuntos de datos del proyecto.
    • Puede borrar cualquier conjunto de datos del proyecto.
    • Puede enumerar y hacer que todos los trabajos se ejecuten en el proyecto, incluidos los trabajos que ejecutan otros usuarios del proyecto
    • Si creas un conjunto de datos, BigQuery asigna a todos los propietarios del proyecto la función predefinida de bigquery.dataOwner para el conjunto de datos nuevo.

      Excepción: Cuando un usuario ejecuta una consulta, se crea un conjunto de datos anónimo para almacenar la tabla de resultados en caché. Solo al usuario que ejecuta la consulta se le otorga acceso de OWNER al conjunto de datos anónimo.

Las funciones básicas para proyectos se asignan o revocan a través de Google Cloud Platform Console. Debes tener acceso de Owner al proyecto para asignar o revocar una función de proyecto nueva.

Si deseas obtener más información sobre cómo otorgar o revocar acceso a funciones del proyecto, consulta Cómo administrar miembros del proyecto.

Funciones básicas para conjuntos de datos

En cierto aspecto, las funciones básicas para conjuntos de datos son equivalentes a las funciones predefinidas que se describen en Cómo realizar la transición de funciones básicas.

Las funciones de conjuntos de datos pueden asignarse a los siguientes tipos de entidades:

Tipo de entidad API
Usuarios individuales, por dirección de correo electrónico access.userByEmail
Un grupo de Google, por dirección de correo electrónico access.groupByEmail
Un grupo predefinido de usuarios, como todos los usuarios, o un grupo de usuarios que tienen la misma función de proyecto para el proyecto que contiene el conjunto de datos. access.specialGroup

Las siguientes funciones básicas se aplican a los conjuntos de datos:

Función del conjunto de datos Capacidades
READER
  • Puede leer, consultar, copiar o exportar tablas del conjunto de datos.
    • Puede llamar a get en el conjunto de datos.
    • Puede llamar a get y list en las tablas del conjunto de datos.
    • Puede llamar a list en los datos de las tablas del conjunto de datos.
WRITER
  • Igual que READER, más las siguientes características:
    • Puede editar o adjuntar datos del conjunto de datos.
      • Puede llamar a insert, insertAll, update o delete.
      • Puede utilizar tablas del conjunto de datos como destinos para trabajos de carga, copia o consulta.
OWNER
  • Igual que WRITER, más las siguientes características:
    • Puede llamar a update en el conjunto de datos.
    • Puede llamar a delete en el conjunto de datos.

Nota: Un conjunto de datos debe tener al menos una entidad con la función OWNER. Un usuario con la función OWNER no puede quitar su propia función OWNER.

Cuando creas un conjunto de datos nuevo, BigQuery agrega acceso predeterminado al conjunto de datos para las siguientes entidades. Las funciones que especificas en la creación del conjunto de datos reemplazan los valores predeterminados.

Entidad Función del conjunto de datos
Todos los usuarios con acceso de Viewer al proyecto READER
Todos los usuarios con acceso de Editor al proyecto WRITER
Todos los usuarios con acceso de Owner al proyecto

OWNER

Excepción: Cuando un usuario ejecuta una consulta, se crea un conjunto de datos anónimo para almacenar la tabla de resultados en caché. Solo al usuario que ejecuta la consulta se le otorga acceso de OWNER al conjunto de datos anónimo.

Las funciones del conjunto de datos se asignan o revocan mediante el uso de una de las siguientes opciones:

  • A través de la API de BigQuery mediante update
  • A través de la IU web, cuando se hace clic en el menú desplegable junto al nombre del conjunto de datos y, a continuación, se hace clic en Compartir conjunto de datos
  • A través de la herramienta de línea de comandos "bq" mediante el uso del comando "bq update". Utiliza la marca "--source" para especificar un archivo JSON que contenga un recurso de "dataset" parcial con el campo "access" configurado.

Situaciones de ejemplo

En los siguientes ejemplos, se incluye un grupo de científicos de datos que pertenecen a un grupo de Google denominado AnalystGroup.

Acceso de lectura y escritura a los datos de un conjunto de datos

CompanyProject es un proyecto que incluye los conjuntos de datos dataset1 y dataset2. AnalystGroup1 es un grupo de científicos de datos que trabajan solamente en dataset1, y AnalystGroup2 es un grupo que trabaja solo en dataset2. Los científicos de datos deben tener acceso completo al conjunto de datos en el que trabajan, lo que incluye el acceso para ejecutar consultas sobre los datos.

Acceso de lectura y escritura a un conjunto de datos
En el conjunto de datos CompanyProject:dataset1 Otorga acceso de WRITER a AnalystGroup1 en dataset1. Esta función se asigna a la función predefinida de IAM: bigquery.dataEditor.
En el conjunto de datos CompanyProject:dataset2 Otorga acceso de WRITER a AnalystGroup2 en dataset2. Esta función se asigna a la función predefinida de IAM: bigquery.dataEditor.
En el proyecto CompanyProject Otorga acceso de bigquery.user a AnalystGroup1 y AnalystGroup2 en CompanyProject.

Otorgar el acceso de WRITER a los científicos de datos a nivel del conjunto de datos les brinda la capacidad de consultar datos en las tablas del conjunto de datos, pero no les otorga permisos para ejecutar trabajos de consulta en el proyecto. Para poder ejecutar trabajos de consulta en el conjunto de datos al que se les ha dado acceso, a los grupos de científicos de datos se les debe otorgar la función predefinida a nivel del proyecto bigquery.user. La función bigquery.user otorga los permisos bigquery.jobs.create.

También puedes agregar los grupos de científicos de datos a una función personalizada de IAM a nivel del proyecto que otorgue permisos de bigquery.jobs.create.

Acceso completo a los datos en un proyecto

AnalystGroup es un grupo de científicos de datos que trabajan en BigQuery y son responsables de todas las facetas de su uso dentro de un proyecto denominado CompanyProject. El grupo prefiere que todos los miembros tengan acceso de lectura y escritura a todos los datos. Otros grupos en la organización trabajan con otros productos de Cloud Platform, pero nadie más interactúa con BigQuery. AnalystGroup no utiliza ningún otro servicio de Cloud Platform.

Acceso completo a los datos en un proyecto
En el proyecto CompanyProject Agrega AnalystGroup a la función predefinida bigquery.admin.

Acceso completo en toda una organización

CompanyA es una organización que desea que una persona específica, denominada Admin1, sea el administrador de todos los datos de BigQuery en todos los proyectos. MonitoringServiceAccount es una cuenta de servicio que es responsable de supervisar el tamaño de todas las tablas en todos los proyectos de la organización.

Acceso completo en toda una organización
En la organización CompanyA

Si la empresa decide que MonitoringServiceAccount también debe reducir las tablas que superen determinado tamaño y quitar los datos más antiguos que un período específico, MonitoringServiceAccount debe agregarse a la función predefinida bigquery.user.

Acceso de lectura a los datos en el mismo proyecto

AnalystGroup es un conjunto de científicos de datos responsables de los servicios de estadísticas dentro de un proyecto denominado CompanyProject. OperationsServiceAccount es una cuenta de servicio que es responsable de cargar los registros de la aplicación en BigQuery a través de trabajos de carga masiva en un conjunto de datos específico en CompanyProject:AppLogs. Los analistas no están autorizados a modificar los registros.

Acceso de lectura a los datos en el mismo proyecto
En el proyecto CompanyProject
  • Agrega OperationsServiceAccount a la función predefinida de bigquery.user.
  • Agrega AnalystGroup a la función predefinida de bigquery.user.
En el conjunto de datos CompanyProject:AppLogs

Acceso de lectura a los datos en un proyecto diferente

AnalystGroup es un conjunto de científicos de datos responsable de los servicios de estadísticas dentro de un proyecto denominado CompanyProject. Sin embargo, los datos que analizan residen en un proyecto separado denominado CompanyLogs. OperationsServiceAccount es una cuenta de servicio que es responsable de cargar los registros de la aplicación en BigQuery a través de trabajos de carga masiva en una variedad de conjuntos de datos en el proyecto CompanyLogs.

AnalystGroup solo puede leer los datos en el proyecto CompanyLogs y no puede crear almacenamiento adicional ni ejecutar ningún trabajo de consulta en ese proyecto. En cambio, los analistas utilizan el proyecto CompanyAnalytics para realizar su trabajo y mantienen los resultados dentro del proyecto CompanyAnalytics.

Acceso de lectura a los datos en un proyecto diferente
En el proyecto CompanyLogs
En el proyecto CompanyAnalytics
  • Agrega AnalystGroup a la función predefinida de bigquery.user.

Manipulación programática de funciones

Puedes utilizar los siguientes métodos para manipular las funciones predefinidas a nivel del conjunto de datos,

el proyecto y la organización de manera programática.

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

¿Necesitas ayuda? Visita nuestra página de asistencia.