Rôles et autorisations prédéfinis

Cette page fournit des informations sur les rôles et les autorisations Cloud IAM (Cloud Identity and Access Management) de BigQuery.

Cette page inclut les rôles et les autorisations correspondant à chacun des produits associés de BigQuery :

  • BigQuery ML
  • BigQuery Data Transfer Service
  • BigQuery BI Engine

Pour en savoir plus sur les contrôles d'accès dans BigQuery ML, consultez la page Contrôle des accès dans la documentation BigQuery ML.

Présentation

Lorsqu'une identité appelle une API Google Cloud, BigQuery exige qu'elle dispose des autorisations appropriées pour accéder à la ressource. Vous pouvez accorder des autorisations en attribuant des rôles à un utilisateur, à un groupe ou à un compte de service.

Cette page décrit les rôles Cloud IAM BigQuery que vous pouvez accorder aux identités pour qu'elles puissent accéder aux ressources BigQuery.

Types de rôles Cloud IAM

Il existe trois types de rôles dans Cloud Identity and Access Management :

  • Les rôles primitifs correspondent aux rôles "Propriétaire", "Éditeur" et "Lecteur" qui existaient avant la mise en place de Cloud Identity and Access Management.
  • Les rôles prédéfinisfournissent un accès précis à un service spécifique et sont gérés par GCP Ils sont conçus pour des cas d'utilisation courants et des modèles de contrôle des accès.
  • Les rôles personnalisés fournissent un accès précis en fonction d'une liste d'autorisations spécifiée par l'utilisateur.

Pour déterminer si une ou plusieurs autorisations sont incluses dans un rôle primitif, prédéfini ou personnalisé, vous pouvez employer l'une des méthodes suivantes :

Lorsque vous attribuez des rôles prédéfinis et des rôles primitifs à un utilisateur, les autorisations accordées correspondent à une combinaison des autorisations de chaque rôle.

Pour en savoir plus sur l'utilisation de Cloud IAM pour accorder l'accès à des ressources, consultez la page Accorder, modifier et révoquer les accès à des ressources dans la documentation Cloud Identity and Access Management.

Pour en savoir plus sur la création de rôles personnalisés, consultez la page Créer et gérer les rôles personnalisés dans la documentation Cloud Identity and Access Management.

Autorisations BigQuery et rôles Cloud IAM prédéfinis

Pour accorder l'accès à une ressource BigQuery, attribuez un ou plusieurs rôles à un utilisateur, un groupe ou un compte de service. Lorsque vous attribuez des rôles au niveau de l'organisation et du projet, vous fournissez des autorisations pour exécuter des tâches BigQuery ou pour gérer toutes les ressources BigQuery d'un projet.

Vous pouvez également affecter des rôles au niveau de l'ensemble de données pour ne fournir l'accès qu'à un ou plusieurs ensembles de données. Dans la hiérarchie des stratégies Cloud IAM, les ensembles de données BigQuery sont des ressources enfants de projets. Les tables et les vues sont les ressources enfants des ensembles de données. Elles héritent donc des autorisations de leur ensemble de données parent.

Pour en savoir plus sur l'attribution de rôles au niveau de l'ensemble de données, consultez la page Contrôler l'accès aux ensembles de données.

Autorisations BigQuery

Le tableau suivant décrit les autorisations disponibles dans BigQuery.

Permission Description
bigquery.jobs.create Exécuter des tâches, y compris des requêtes, dans le projet
bigquery.jobs.listAll Répertorier toutes les tâches et récupérer les métadonnées de n'importe quelle tâche envoyée par un utilisateur*
bigquery.jobs.list Répertorier toutes les tâches et récupérer les métadonnées de n'importe quelle tâche envoyée par un utilisateur* Les informations et les métadonnées des tâches envoyées par d'autres utilisateurs sont masquées.
bigquery.jobs.get Obtenir les données et les métadonnées de n'importe quelle tâche*
bigquery.jobs.update Annuler n'importe quelle tâche*
bigquery.datasets.create Créer des ensembles de données vides
bigquery.datasets.delete Supprimer un ensemble de données
bigquery.datasets.get Obtenir les métadonnées d'un ensemble de données
bigquery.datasets.update Mettre à jour les métadonnées d'un ensemble de données
bigquery.tables.create Créer des tables
bigquery.tables.list Répertorier des tables et leurs métadonnées
bigquery.tables.delete Supprimer des tables
bigquery.tables.get Obtenir les métadonnées d'une table
Pour obtenir des données d'une table, vous avez besoin de bigquery.tables.getData.
bigquery.tables.getData Obtenir les données d'une table Cette autorisation est requise pour interroger les données d'une table.
Pour obtenir les métadonnées d'une table, vous avez besoin de bigquery.tables.get.
bigquery.tables.export Exporter les données d'une table de BigQuery
bigquery.tables.update

Mettre à jour les métadonnées d'une table.
Pour mettre à jour les données d'une table, vous avez besoin de bigquery.tables.updateData.
bigquery.tables.updateData

Mettre à jour les données d'une table.
Pour mettre à jour les métadonnées d'une table, vous avez besoin de bigquery.tables.update.
bigquery.routines.create (version bêta) Créer des routines (fonctions et procédures stockées)
bigquery.routines.list (version bêta) Répertorier des routines et leurs métadonnées
bigquery.routines.delete (version bêta) Supprimer des routines
bigquery.routines.get (version bêta) Obtenir des définitions et des métadonnées de routine
bigquery.routines.update (version bêta)

Mettre à jour des définitions et des métadonnées de routine
bigquery.transfers.get Obtenir des métadonnées de transfert
bigquery.transfers.update Créer, mettre à jour et supprimer des transferts
bigquery.savedqueries.create Créer des requêtes enregistrées
bigquery.savedqueries.get Obtenir les métadonnées des requêtes enregistrées
bigquery.savedqueries.list Répertorier les requêtes enregistrées
bigquery.savedqueries.update Mettre à jour les requêtes enregistrées
bigquery.savedqueries.delete Supprimer les requêtes enregistrées
bigquery.readsessions.create (version bêta) Créer une session de lecture via l'API BigQuery Storage
bigquery.connections.create (version bêta) Créer des connexions dans un projet
bigquery.connections.get (version bêta) Obtenir des métadonnées de connexion. Les identifiants sont exclus.
bigquery.connections.list (version bêta) Répertorier les connexions d'un projet
bigquery.connections.use (version bêta) Utiliser une configuration de connexion pour se connecter à une source de données distante
bigquery.connections.update (version bêta) Mettre à jour une connexion et ses identifiants
bigquery.connections.delete (version bêta) Supprimer une connexion
bigquery.reservations.create (version bêta) Créer une réservation dans un projet
bigquery.reservations.list (version bêta) Répertorier toutes les réservations d'un projet
bigquery.reservations.get (version bêta) Récupérer les informations sur une réservation
bigquery.reservations.delete (version bêta) Supprimer une réservation
bigquery.reservations.update (version bêta) Mettre à jour les propriétés d'une réservation
bigquery.capacityCommitments.create (version bêta) Créer un engagement de capacité dans le projet
bigquery.capacityCommitments.list (version bêta) Répertorier tous les engagements de capacité dans un projet
bigquery.capacityCommitments.get (version bêta) Récupérer les informations sur un engagement de capacité
bigquery.capacityCommitments.delete (version bêta) Supprimer un engagement de capacité
bigquery.reservationAssignments.create (version bêta)

Créer une attribution de réservation. Cette autorisation est requise pour le projet propriétaire et la ressource affectée.
Pour transférer une attribution de réservation, vous avez besoin de bigquery.reservationAssignments.create pour le nouveau projet propriétaire et la ressource affectée.
bigquery.reservationAssignments.delete (version bêta)

Supprimer une attribution de réservation. Cette autorisation est requise pour le projet propriétaire et la ressource affectée.
Pour transférer une attribution de réservation, vous avez besoin de bigquery.reservationAssignments.delete pour l'ancien projet propriétaire et la ressource affectée.
bigquery.reservationAssignments.list (version bêta)

Répertorier les attributions de réservation
Pour rechercher une attribution de réservation pour un projet, dossier ou organisation donnée, vous avez besoin de bigquery.reservationAssignments.list pour la ressource affectée.

* Pour chaque tâche que vous créez, vous disposez automatiquement de l'équivalent des autorisations bigquery.jobs.get et bigquery.jobs.update pour cette tâche.

Rôles Cloud IAM prédéfinis dans BigQuery

Le tableau suivant répertorie les rôles Cloud IAM prédéfinis dans BigQuery, ainsi que la liste de toutes les autorisations incluses dans chaque rôle. Notez que chaque autorisation est applicable à un type de ressource particulier.

Rôle Titre Description Autorisations Ressource la plus basse
roles/bigquery.admin Administrateur BigQuery Fournit des autorisations permettant de gérer toutes les ressources du projet. Ce rôle peut gérer toutes les données du projet et annuler les tâches exécutées par d'autres utilisateurs dans le projet.
  • bigquery.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/bigquery.connectionAdmin Administrateur de connexion BigQueryBêta
  • bigquery.connections.*
roles/bigquery.connectionUser Utilisateur de connexion BigQueryBêta
  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use
roles/bigquery.dataEditor Éditeur de données BigQuery

Lorsque ce rôle est appliqué à un ensemble de données, il fournit des autorisations permettant de :

  • lire les métadonnées de l'ensemble de données et répertorier les tables que celui-ci contient ;
  • créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données.

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il permet également de créer des ensembles de données.
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.delete
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.list
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Ensemble de données
roles/bigquery.dataOwner Propriétaire de données BigQuery

Lorsque ce rôle est appliqué à un ensemble de données, il fournit des autorisations permettant de :

  • lire, mettre à jour et supprimer l'ensemble de données ;
  • créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données.

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également créer des ensembles de données.
  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Ensemble de données
roles/bigquery.dataViewer Lecteur de données BigQuery

Lorsque ce rôle est appliqué à un ensemble de données, il fournit des autorisations permettant de :

  • lire les métadonnées de l'ensemble de données et répertorier les tables que celui-ci contient ;
  • lire les données et les métadonnées des tables de l'ensemble de données.

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également énumérer tous les ensembles de données du projet. Toutefois, des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches.

  • bigquery.datasets.get
  • bigquery.datasets.getiamPolicy
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Ensemble de données
roles/bigquery.jobUser Utilisateur de tâche BigQuery Fournit des autorisations permettant d'exécuter des tâches, y compris des requêtes, dans le projet. Ce rôle permet de vérifier l'existence de toutes leurs tâches, de les énumérer et de les annuler.
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/bigquery.metadataViewer Lecteur de métadonnées BigQuery

Lorsqu'il est appliqué au niveau du projet ou de l'organisation, metadataViewer fournit des autorisations permettant de :

  • répertorier tous les ensembles de données et lire les métadonnées de tous les ensembles de données du projet ;
  • répertorier tous les tableaux et toutes les vues, et lire les métadonnées du projet qui y sont recensées.

Des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches.

  • bigquery.datasets.get
  • bigquery.datasets.getiamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/bigquery.readSessionUser Utilisateur de sessions de lecture BigQuery Accès permettant de créer et d'utiliser des sessions de lecture
  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceAdmin Administration des ressources BigQuery Bêta Gérer toutes les ressources BigQuery.
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.user Utilisateur BigQuery Fournit des autorisations permettant d'exécuter des tâches, y compris des requêtes, dans le projet. Ce rôle peut énumérer et annuler ses propres tâches, et énumérer des ensembles de données au sein d'un projet. Il permet également de créer des ensembles de données dans le projet. Le créateur dispose alors du rôle bigquery.dataOwner pour ces nouveaux ensembles de données.
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet

Rôles primitifs BigQuery

Pour en savoir plus sur les rôles primitifs pour BigQuery, reportez-vous à la page Rôles primitifs et autorisations BigQuery.

Rôles personnalisés BigQuery

Pour créer un rôle Cloud IAM personnalisé pour BigQuery, suivez les étapes décrites dans la documentation sur les rôles personnalisés de Cloud IAM.

Étapes suivantes