本页面提供有关 BigQuery 的 Cloud Identity and Access Management 角色和权限的信息。
本页面包含与每个 BigQuery 配套产品相关的角色和权限:
- BigQuery ML
- BigQuery Data Transfer Service
- BigQuery BI Engine
如需详细了解 BigQuery ML 中的访问权限控制,请参阅 BigQuery ML 文档中的访问权限控制。
概览
当某个身份调用 Google Cloud Platform API 时,Google BigQuery 会要求该身份必须具有使用相应资源的适当权限。您可以通过为用户、群组或服务帐号授予角色来授予权限。
本页面介绍了您可以授予某个身份以访问 BigQuery 资源的 BigQuery Cloud IAM 角色。
Cloud IAM 角色类型
Cloud Identity and Access Management 中有三种类型的角色:
- 原初角色包括在引入 Cloud Identity and Access Management 之前已存在的 Owner、Editor 和 Viewer 角色。
- 预定义角色为特定服务提供精细访问权限,并由 GCP 管理。预定义角色旨在为常见使用场景和访问权限控制模式提供支持。
- 自定义角色根据用户指定的权限列表提供精细访问权限。
如需确定原初角色、预定义角色或自定义角色中是否包含一项或多项权限,您可以使用以下方法之一:
gcloud iam roles describe命令- Cloud IAM API 中的
roles.get()方法
如果向某用户同时分配了预定义角色和原初角色,则授予的权限是每个角色所拥有权限的并集。
如需详细了解如何使用 Cloud IAM 访问资源,请参阅 Cloud Identity and Access Management 文档中的授予、更改和撤消对资源的访问权限。
如需了解如何创建自定义角色,请参阅 Cloud Identity and Access Management 文档中的创建和管理自定义角色。
BigQuery 权限和预定义的 Cloud IAM 角色
如需授予对 BigQuery 资源的访问权限,请为用户、组或服务帐号分配一个或多个角色。在组织级层和项目级层分配角色时,您会提供运行 BigQuery 作业或管理项目的所有 BigQuery 资源的权限。
您还可以在数据集级层分配角色,以仅提供对一个或多个数据集的访问权限。在 Cloud IAM 政策层次结构中,BigQuery 数据集是项目的子资源。表和视图是数据集的子资源,也就是说,它们继承其父级数据集的权限。
如需详细了解如何在数据集级层分配角色,请参阅控制对数据集的访问权限。
BigQuery 权限
下表介绍了 BigQuery 中提供的权限。
| 权限 | 说明 |
|---|---|
bigquery.jobs.create |
创建新作业。 |
bigquery.jobs.listAll |
列出所有作业,并检索任何用户所提交任何作业的相关元数据。* |
bigquery.jobs.list |
列出所有作业,并检索任何用户所提交任何作业的相关元数据。* 对于由其他用户提交的作业,详细信息和元数据会被遮盖。 |
bigquery.jobs.get |
获取任何作业的数据和元数据。* |
bigquery.jobs.update |
取消任何作业。* |
bigquery.datasets.create |
新建空数据集。 |
bigquery.datasets.delete |
删除数据集。 |
bigquery.datasets.get |
获取数据集的相关元数据。 |
bigquery.datasets.update |
更新数据集的元数据。 |
bigquery.tables.create |
新建表。 |
bigquery.tables.list |
列出表和表的元数据。 |
bigquery.tables.delete |
删除表。 |
bigquery.tables.get |
获取表元数据。 如需获取表数据,您需要具备 bigquery.tables.getData 权限。 |
bigquery.tables.getData |
获取表数据。 如需获取表元数据,您需要具备 bigquery.tables.get 权限。 |
bigquery.tables.export |
从 BigQuery 导出表数据。 |
bigquery.tables.update |
更新表元数据。 |
bigquery.tables.updateData |
更新表数据。 |
bigquery.routines.create(测试版) |
创建新例程(函数和存储过程)。 |
bigquery.routines.list(测试版) |
列出例程和例程的元数据。 |
bigquery.routines.delete(测试版) |
删除例程。 |
bigquery.routines.get(测试版) |
获取例程定义和元数据。 |
bigquery.routines.update(测试版) |
更新例程定义和元数据。 |
bigquery.transfers.get |
获取传输元数据。 |
bigquery.transfers.update |
创建、更新和删除传输。 |
bigquery.savedqueries.create |
创建已保存的查询。 |
bigquery.savedqueries.get |
获取已保存查询的元数据。 |
bigquery.savedqueries.list |
列出已保存的查询 |
bigquery.savedqueries.update |
更新已保存的查询。 |
bigquery.savedqueries.delete |
删除已保存的查询。 |
bigquery.readsessions.create(测试版) |
通过 BigQuery Storage API 创建新读取会话。 |
bigquery.connections.create(测试版) |
在项目中创建新连接。 |
bigquery.connections.get(测试版) |
获取连接元数据。凭证已排除在外。 |
bigquery.connections.list(测试版) |
列出项目中的连接。 |
bigquery.connections.use(测试版) |
使用连接配置连接到远程数据源。 |
bigquery.connections.update(测试版) |
更新连接及其凭据。 |
bigquery.connections.delete(测试版) |
删除连接。 |
* 对于您创建的任何作业,系统将会自动为您分配该作业的 bigquery.jobs.get 和 bigquery.jobs.update 权限。
BigQuery 预定义的 Cloud IAM 角色
下表列出了预定义的 BigQuery Cloud IAM 角色及每个角色包含的所有权限的列表。请注意,每个权限适用于特定资源类型。
BigQuery 原初角色
如需了解 BigQuery 原初角色,请参阅 BigQuery 原初角色和权限。
BigQuery 自定义角色
要为 BigQuery 创建自定义 Cloud IAM 角色,请按照 Cloud IAM 自定义角色文档中列出的步骤操作。
后续步骤
- 请参阅 BigQuery 访问权限控制示例。
- 如需了解 BigQuery 原初角色,请参阅 BigQuery 原初角色和权限。
- 如需详细了解如何在数据集级层分配角色,请参阅控制对数据集的访问权限。
需要帮助?请访问我们的