使用 IAM 控制对资源的访问权限

本文档介绍了如何查看、授予和撤消对 BigQuery 数据集以及数据集内资源（表、视图和例程）的访问权限控制。虽然模型也是数据集级资源，但您无法使用 IAM 角色授予对单个模型的访问权限。

您可以使用附加到资源的允许政策（也称为 Identity and Access Management [IAM] 政策）授予对 Google Cloud 资源的访问权限。每个资源只能附加一项允许政策。允许政策可控制对资源本身以及从允许政策沿用的任何后代资源的访问权限。

如需详细了解允许政策，请参阅 IAM 文档中的政策结构。

本文档假定您熟悉 Google Cloud中的 Identity and Access Management (IAM)。

限制

复制的例程中不包含例程访问控制列表 (ACL)。
外部数据集或关联数据集中的例程不支持访问权限控制。
外部数据集或关联数据集中的表不支持访问权限控制。
无法使用 Terraform 设置例程访问权限控制。
无法使用 Google Cloud SDK 设置例程访问权限控制。
无法使用 BigQuery 数据控制语言 (DCL) 设置例程访问权限控制。
Data Catalog 不支持例程访问权限控制。如果用户有条件地授予了例程级别的访问权限，则不会在 BigQuery 侧边栏中看到自己的例程。如需解决此问题，请改为授予数据集级别的访问权限。
INFORMATION_SCHEMA.OBJECT_PRIVILEGES 视图不会显示例程的访问权限控制。

准备工作

授予为用户提供执行本文档中的每个任务所需权限的 Identity and Access Management (IAM) 角色。

所需的角色

如需获取修改资源 IAM 政策所需的权限，请让您的管理员授予您项目的 BigQuery Data Owner (roles/bigquery.dataOwner) IAM 角色。如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

此预定义角色包含修改资源 IAM 政策所需的权限。如需查看所需的确切权限，请展开所需权限部分：

所需权限

您需要具备以下权限才能修改资源 IAM 政策：

获取数据集的访问权限政策： bigquery.datasets.get
设置数据集的访问权限政策： bigquery.datasets.update
获取数据集的访问权限政策（仅限Google Cloud 控制台）： bigquery.datasets.getIamPolicy
设置数据集的访问权限政策（仅限控制台）： bigquery.datasets.setIamPolicy
获取表或视图的访问权限政策： bigquery.tables.getIamPolicy
设置表或视图的政策： bigquery.tables.setIamPolicy
获取例程的访问权限政策： bigquery.routines.getIamPolicy
设置例程的访问权限政策： bigquery.routines.setIamPolicy
创建 bq 工具或 SQL BigQuery 作业（可选）： bigquery.jobs.create

您也可以使用自定义角色或其他预定义角色来获取这些权限。

使用数据集访问权限控制

您可以通过向 IAM 主账号授予预定义角色或自定义角色来提供对数据集的访问权限，这些角色决定了主账号可以对数据集执行哪些操作。这也称为将允许政策附加到资源。授予访问权限后，您可以查看数据集的访问权限控制，也可以撤消对数据集的访问权限。

授予对数据集的访问权限

使用 BigQuery 网页界面或 bq 命令行工具创建数据集时，您无法授予对该数据集的访问权限。您必须先创建数据集，然后才能授予对该数据集的访问权限。借助该 API，您可以通过使用已定义的数据集资源调用 datasets.insert 方法，在创建数据集期间授予访问权限。

项目是数据集的父资源，而数据集是表、视图、例程和模型的父资源。如果您在项目级层授予角色，数据集和数据集的资源将继承该角色及其权限。同样，当您在数据集级层授予角色时，该角色及其权限会由数据集中的资源继承。

您可以通过授予 IAM 角色访问数据集的权限，或者通过使用 IAM 条件有条件地授予访问权限，来提供对数据集的访问权限。如需详细了解如何授予条件访问权限，请参阅使用 IAM Conditions 控制访问权限。

如需在不使用条件的情况下向 IAM 角色授予对数据集的访问权限，请选择以下选项之一：

控制台

前往 BigQuery 页面。

转到 BigQuery
在浏览器窗格中，展开您的项目并选择要共享的数据集。
点击共享 > 权限。
点击 添加主账号。
在新的主账号字段中，输入主账号。
在选择角色列表中，选择预定义角色或自定义角色。
点击保存。
要返回数据集信息，请点击关闭。

SQL

如需向主账号授予对数据集的访问权限，请使用 GRANT DCL 语句：

在 Google Cloud 控制台中，前往 BigQuery 页面。

转到 BigQuery
在查询编辑器中，输入以下语句：
```
GRANT `ROLE_LIST`
ON SCHEMA RESOURCE_NAME
TO "USER_LIST"
```
请替换以下内容：
- ROLE_LIST：您要授予的角色或角色列表（以英文逗号分隔）
- RESOURCE_NAME：您要授予访问权限的数据集的名称
- USER_LIST：将被授予角色的用户的列表（以英文逗号分隔）
  
  如需查看有效格式的列表，请参阅 user_list。
点击运行。

如需详细了解如何运行查询，请参阅运行交互式查询。

以下示例向 myDataset 授予 BigQuery Data Viewer 角色：

GRANT `roles/bigquery.dataViewer`
ON SCHEMA `myProject`.myDataset
TO "user:user@example.com", "user:user2@example.com"

bq

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
要将现有数据集信息（包括访问权限控制）写入 JSON 文件，请使用 bq show 命令：
```
bq show \
    --format=prettyjson \
    PROJECT_ID:DATASET > PATH_TO_FILE
```
请替换以下内容：
- PROJECT_ID：您的项目 ID
- DATASET：您的数据集的名称
- PATH_TO_FILE：本地机器上 JSON 文件的路径

对 JSON 文件的 access 部分进行更改。您可以将其添加到任何 specialGroup 条目：projectOwners、projectWriters、projectReaders、allAuthenticatedUsers。您还可以添加以下任一项：userByEmail、groupByEmail 和 domain。

例如，数据集 JSON 文件的 access 部分可能如下所示：

{
 "access": [
  {
   "role": "READER",
   "specialGroup": "projectReaders"
  },
  {
   "role": "WRITER",
   "specialGroup": "projectWriters"
  },
  {
   "role": "OWNER",
   "specialGroup": "projectOwners"
  },
  {
   "role": "READER",
   "specialGroup": "allAuthenticatedUsers"
  },
  {
   "role": "READER",
   "domain": "domain_name"
  },
  {
   "role": "WRITER",
   "userByEmail": "user_email"
  },
  {
   "role": "READER",
   "groupByEmail": "group_email"
  }
 ],
 ...
}

修改完成后，运行 bq update 命令，并用 --source 标志包括该 JSON 文件。如果数据集不在默认项目中，请按以下格式将相应项目 ID 添加到数据集名称中：PROJECT_ID:DATASET。

注意：包含访问权限控制设置的 JSON 文件生效后，现有的设置将被覆盖。
```
  bq update 

  --source PATH_TO_FILE 

  PROJECT_ID:DATASET
  
```
如需验证您的访问权限控制是否发生了变化，请再次使用 bq show 命令，但不要将信息写入文件：
```
bq show --format=prettyjson PROJECT_ID:DATASET
```

Terraform

使用 google_bigquery_dataset_iam 资源可更新对数据集的访问权限。

为数据集设置访问权限政策

以下示例展示了如何使用 google_bigquery_dataset_iam_policy 资源为 mydataset 数据集设置 IAM 政策。这会替换已附加到该数据集的任何现有政策：

# This file sets the IAM policy for the dataset created by
# https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_dataset/main.tf.
# You must place it in the same local directory as that main.tf file,
# and you must have already applied that main.tf file to create
# the "default" dataset resource with a dataset_id of "mydataset".

data "google_iam_policy" "iam_policy" {
  binding {
    role = "roles/bigquery.admin"
    members = [
      "user:user@example.com",
    ]
  }
  binding {
    role = "roles/bigquery.dataOwner"
    members = [
      "group:data.admin@example.com",
    ]
  }
  binding {
    role = "roles/bigquery.dataEditor"
    members = [
      "serviceAccount:bqcx-1234567891011-12a3@gcp-sa-bigquery-condel.iam.gserviceaccount.com",
    ]
  }
}

resource "google_bigquery_dataset_iam_policy" "dataset_iam_policy" {
  dataset_id  = google_bigquery_dataset.default.dataset_id
  policy_data = data.google_iam_policy.iam_policy.policy_data
}

为数据集设置角色成员资格

以下示例展示了如何使用 google_bigquery_dataset_iam_binding 资源为 mydataset 数据集设置给定角色的成员资格。这会替换该角色中的任何现有成员资格。数据集 IAM 政策中的其他角色会保留：

# This file sets membership in an IAM role for the dataset created by
# https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_dataset/main.tf.
# You must place it in the same local directory as that main.tf file,
# and you must have already applied that main.tf file to create
# the "default" dataset resource with a dataset_id of "mydataset".

resource "google_bigquery_dataset_iam_binding" "dataset_iam_binding" {
  dataset_id = google_bigquery_dataset.default.dataset_id
  role       = "roles/bigquery.jobUser"

  members = [
    "user:user@example.com",
    "group:group@example.com"
  ]
}

为单个主账号设置角色成员资格

以下示例展示了如何使用 google_bigquery_dataset_iam_member 资源更新 mydataset 数据集的 IAM 政策，以向一个主账号授予角色。更新此 IAM 政策不会影响已针对相应数据集授予该角色的任何其他主账号的访问权限。

# This file adds a member to an IAM role for the dataset created by
# https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_dataset/main.tf.
# You must place it in the same local directory as that main.tf file,
# and you must have already applied that main.tf file to create
# the "default" dataset resource with a dataset_id of "mydataset".

resource "google_bigquery_dataset_iam_member" "dataset_iam_member" {
  dataset_id = google_bigquery_dataset.default.dataset_id
  role       = "roles/bigquery.user"
  member     = "user:user@example.com"
}

如需在 Google Cloud 项目中应用 Terraform 配置，请完成以下部分中的步骤。

准备 Cloud Shell

启动 Cloud Shell。
设置要应用 Terraform 配置的默认 Google Cloud 项目。

您只需为每个项目运行一次以下命令，即可在任何目录中运行它。
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
如果您在 Terraform 配置文件中设置显式值，则环境变量会被替换。

准备目录

每个 Terraform 配置文件都必须有自己的目录（也称为“根模块”）。

在 Cloud Shell 中，创建一个目录，并在该目录中创建一个新文件。文件名必须具有 .tf 扩展名，例如 main.tf。在本教程中，该文件称为 main.tf。
```
mkdir DIRECTORY && cd DIRECTORY && touch main.tf
```
如果您按照教程进行操作，可以在每个部分或步骤中复制示例代码。

将示例代码复制到新创建的 main.tf 中。

（可选）从 GitHub 中复制代码。如果端到端解决方案包含 Terraform 代码段，则建议这样做。
查看和修改要应用到您的环境的示例参数。
保存更改。
初始化 Terraform。您只需为每个目录执行一次此操作。
```
terraform init
```
（可选）如需使用最新的 Google 提供程序版本，请添加 -upgrade 选项：
```
terraform init -upgrade
```

应用更改

查看配置并验证 Terraform 将创建或更新的资源是否符合您的预期：
```
terraform plan
```
根据需要更正配置。
通过运行以下命令并在提示符处输入 yes 来应用 Terraform 配置：
```
terraform apply
```
等待 Terraform 显示“应用完成！”消息。
打开您的 Google Cloud 项目以查看结果。在 Google Cloud 控制台的界面中找到资源，以确保 Terraform 已创建或更新它们。

API

要在创建数据集时应用访问权限控制，请使用已定义的数据集资源来调用 datasets.insert 方法。要更新访问权限控制，请调用 datasets.patch 方法并使用 Dataset 资源中的 access 属性。

由于 datasets.update 方法会替换整个数据集资源，因此 datasets.patch 是更新访问权限控制的首选方法。

Go

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Go 设置说明进行操作。如需了解详情，请参阅 BigQuery Go API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

通过使用 DatasetMetadataToUpdate 类型将新条目附加到现有列表来设置新的访问权限列表。然后调用 dataset.Update() 函数以更新该属性。

import (
	"context"
	"fmt"
	"io"

	"cloud.google.com/go/bigquery"
)

// grantAccessToDataset creates a new ACL conceding the READER role to the group "example-analyst-group@google.com"
// For more information on the types of ACLs available see:
// https://cloud.google.com/storage/docs/access-control/lists
func grantAccessToDataset(w io.Writer, projectID, datasetID string) error {
	// TODO(developer): uncomment and update the following lines:
	// projectID := "my-project-id"
	// datasetID := "mydataset"

	ctx := context.Background()

	// Create BigQuery handler.
	client, err := bigquery.NewClient(ctx, projectID)
	if err != nil {
		return fmt.Errorf("bigquery.NewClient: %w", err)
	}
	defer client.Close()

	// Create dataset handler
	dataset := client.Dataset(datasetID)

	// Get metadata
	meta, err := dataset.Metadata(ctx)
	if err != nil {
		return fmt.Errorf("bigquery.Dataset.Metadata: %w", err)
	}

	// Find more details about BigQuery Entity Types here:
	// https://pkg.go.dev/cloud.google.com/go/bigquery#EntityType
	//
	// Find more details about BigQuery Access Roles here:
	// https://pkg.go.dev/cloud.google.com/go/bigquery#AccessRole

	entityType := bigquery.GroupEmailEntity
	entityID := "example-analyst-group@google.com"
	roleType := bigquery.ReaderRole

	// Append a new access control entry to the existing access list.
	update := bigquery.DatasetMetadataToUpdate{
		Access: append(meta.Access, &bigquery.AccessEntry{
			Role:       roleType,
			EntityType: entityType,
			Entity:     entityID,
		}),
	}

	// Leverage the ETag for the update to assert there's been no modifications to the
	// dataset since the metadata was originally read.
	meta, err = dataset.Update(ctx, update, meta.ETag)
	if err != nil {
		return err
	}

	fmt.Fprintf(w, "Details for Access entries in dataset %v.\n", datasetID)
	for _, access := range meta.Access {
		fmt.Fprintln(w)
		fmt.Fprintf(w, "Role: %s\n", access.Role)
		fmt.Fprintf(w, "Entities: %v\n", access.Entity)
	}

	return nil
}

Java

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Java 设置说明进行操作。如需了解详情，请参阅 BigQuery Java API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

import com.google.cloud.bigquery.Acl;
import com.google.cloud.bigquery.Acl.Entity;
import com.google.cloud.bigquery.Acl.Group;
import com.google.cloud.bigquery.Acl.Role;
import com.google.cloud.bigquery.BigQuery;
import com.google.cloud.bigquery.BigQueryException;
import com.google.cloud.bigquery.BigQueryOptions;
import com.google.cloud.bigquery.Dataset;
import com.google.cloud.bigquery.DatasetId;
import java.util.ArrayList;
import java.util.List;

public class GrantAccessToDataset {

  public static void main(String[] args) {
    // TODO(developer): Replace these variables before running the sample.
    // Project and dataset from which to get the access policy
    String projectId = "MY_PROJECT_ID";
    String datasetName = "MY_DATASET_NAME";
    // Group to add to the ACL
    String entityEmail = "group-to-add@example.com";

    grantAccessToDataset(projectId, datasetName, entityEmail);
  }

  public static void grantAccessToDataset(
      String projectId, String datasetName, String entityEmail) {
    try {
      // Initialize client that will be used to send requests. This client only needs to be created
      // once, and can be reused for multiple requests.
      BigQuery bigquery = BigQueryOptions.getDefaultInstance().getService();

      // Create datasetId with the projectId and the datasetName.
      DatasetId datasetId = DatasetId.of(projectId, datasetName);
      Dataset dataset = bigquery.getDataset(datasetId);

      // Create a new Entity with the corresponding type and email
      // "user-or-group-to-add@example.com"
      // For more information on the types of Entities available see:
      // https://cloud.google.com/java/docs/reference/google-cloud-bigquery/latest/com.google.cloud.bigquery.Acl.Entity
      // and
      // https://cloud.google.com/java/docs/reference/google-cloud-bigquery/latest/com.google.cloud.bigquery.Acl.Entity.Type
      Entity entity = new Group(entityEmail);

      // Create a new ACL granting the READER role to the group with the entity email
      // "user-or-group-to-add@example.com"
      // For more information on the types of ACLs available see:
      // https://cloud.google.com/storage/docs/access-control/lists
      Acl newEntry = Acl.of(entity, Role.READER);

      // Get a copy of the ACLs list from the dataset and append the new entry.
      List<Acl> acls = new ArrayList<>(dataset.getAcl());
      acls.add(newEntry);

      // Update the ACLs by setting the new list.
      Dataset updatedDataset = bigquery.update(dataset.toBuilder().setAcl(acls).build());
      System.out.println(
          "ACLs of dataset \""
              + updatedDataset.getDatasetId().getDataset()
              + "\" updated successfully");
    } catch (BigQueryException e) {
      System.out.println("ACLs were not updated \n" + e.toString());
    }
  }
}

Node.js

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Node.js 设置说明进行操作。如需了解详情，请参阅 BigQuery Node.js API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

通过使用 Dataset#metadata 方法将新条目附加到现有列表来设置新的访问权限列表。然后调用 Dataset#setMetadata() 函数来更新该属性。


/**
 * TODO(developer): Update and un-comment below lines.
 */

// const datasetId = "my_project_id.my_dataset_name";

// ID of the user or group from whom you are adding access.
// const entityId = "user-or-group-to-add@example.com";

// One of the "Basic roles for datasets" described here:
// https://cloud.google.com/bigquery/docs/access-control-basic-roles#dataset-basic-roles
// const role = "READER";

const {BigQuery} = require('@google-cloud/bigquery');

// Instantiate a client.
const client = new BigQuery();

// Type of entity you are granting access to.
// Find allowed allowed entity type names here:
// https://cloud.google.com/bigquery/docs/reference/rest/v2/datasets#resource:-dataset
const entityType = 'groupByEmail';

async function grantAccessToDataset() {
  const [dataset] = await client.dataset(datasetId).get();

  // The 'access entries' array is immutable. Create a copy for modifications.
  const entries = [...dataset.metadata.access];

  // Append an AccessEntry to grant the role to a dataset.
  // Find more details about the AccessEntry object in the BigQuery documentation:
  // https://cloud.google.com/python/docs/reference/bigquery/latest/google.cloud.bigquery.dataset.AccessEntry
  entries.push({
    role,
    [entityType]: entityId,
  });

  // Assign the array of AccessEntries back to the dataset.
  const metadata = {
    access: entries,
  };

  // Update will only succeed if the dataset
  // has not been modified externally since retrieval.
  //
  // See the BigQuery client library documentation for more details on metadata updates:
  // https://cloud.google.com/nodejs/docs/reference/bigquery/latest

  // Update just the 'access entries' property of the dataset.
  await client.dataset(datasetId).setMetadata(metadata);

  console.log(
    `Role '${role}' granted for entity '${entityId}' in '${datasetId}'.`
  );
}

Python

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Python 设置说明进行操作。如需了解详情，请参阅 BigQuery Python API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

使用数据集的访问权限控制来设置 dataset.access_entries 属性。然后调用 client.update_dataset() 函数以更新该属性。

from google.api_core.exceptions import PreconditionFailed
from google.cloud import bigquery
from google.cloud.bigquery.enums import EntityTypes

# TODO(developer): Update and uncomment the lines below.

# ID of the dataset to grant access to.
# dataset_id = "my_project_id.my_dataset"

# ID of the user or group receiving access to the dataset.
# Alternatively, the JSON REST API representation of the entity,
# such as the view's table reference.
# entity_id = "user-or-group-to-add@example.com"

# One of the "Basic roles for datasets" described here:
# https://cloud.google.com/bigquery/docs/access-control-basic-roles#dataset-basic-roles
# role = "READER"

# Type of entity you are granting access to.
# Find allowed allowed entity type names here:
# https://cloud.google.com/python/docs/reference/bigquery/latest/enums#class-googlecloudbigqueryenumsentitytypesvalue
entity_type = EntityTypes.GROUP_BY_EMAIL

# Instantiate a client.
client = bigquery.Client()

# Get a reference to the dataset.
dataset = client.get_dataset(dataset_id)

# The `access_entries` list is immutable. Create a copy for modifications.
entries = list(dataset.access_entries)

# Append an AccessEntry to grant the role to a dataset.
# Find more details about the AccessEntry object here:
# https://cloud.google.com/python/docs/reference/bigquery/latest/google.cloud.bigquery.dataset.AccessEntry
entries.append(
    bigquery.AccessEntry(
        role=role,
        entity_type=entity_type,
        entity_id=entity_id,
    )
)

# Assign the list of AccessEntries back to the dataset.
dataset.access_entries = entries

# Update will only succeed if the dataset
# has not been modified externally since retrieval.
#
# See the BigQuery client library documentation for more details on `update_dataset`:
# https://cloud.google.com/python/docs/reference/bigquery/latest/google.cloud.bigquery.client.Client#google_cloud_bigquery_client_Client_update_dataset
try:
    # Update just the `access_entries` property of the dataset.
    dataset = client.update_dataset(
        dataset,
        ["access_entries"],
    )

    # Show a success message.
    full_dataset_id = f"{dataset.project}.{dataset.dataset_id}"
    print(
        f"Role '{role}' granted for entity '{entity_id}'"
        f" in dataset '{full_dataset_id}'."
    )
except PreconditionFailed:  # A read-modify-write error
    print(
        f"Dataset '{dataset.dataset_id}' was modified remotely before this update. "
        "Fetch the latest version and retry."
    )

授予数据集访问权限的预定义角色

您可以向数据集授予以下 IAM 预定义角色的访问权限。

角色	说明
BigQuery Data Owner (`roles/bigquery.dataOwner`)	当此角色被授予给数据集时，会授予以下权限：数据集以及数据集内所有资源（表和视图、模型和例程）的所有权限。注意：在项目级层获得 Data Owner 角色的主账号还可以创建新数据集，并列出其有权访问的项目中的数据集。
BigQuery Data Editor (`roles/bigquery.dataEditor`)	当此角色被授予给数据集时，会授予以下权限：获取数据集的元数据和权限。对于表和视图：创建、更新、获取、列出和删除数据集的表和视图。读取（查询）、导出、复制和更新表数据。创建、更新和删除索引。创建和恢复快照。数据集的例程和模型的所有权限。注意：在项目级层获得 Data Editor 角色的主账号还可以创建新数据集，并列出其有权访问的项目中的数据集。
BigQuery Data Viewer (`roles/bigquery.dataViewer`)	当此角色被授予给数据集时，会授予以下权限：获取数据集的元数据和权限。列出数据集的表、视图和模型。获取数据集的表和视图的元数据和访问权限控制。读取（查询）、复制和导出表数据，以及创建快照。列出并调用数据集的例程。
BigQuery Metadata Viewer (`roles/bigquery.metadataViewer`)	当此角色被授予给数据集时，会授予以下权限：获取数据集的元数据和访问权限控制。获取表和视图的元数据和访问权限控制。从数据集的模型和例程中获取元数据。列出数据集中的表、视图、模型和例程。

数据集权限

大多数以 bigquery.datasets 开头的权限都适用于数据集级层。 bigquery.datasets.create却不是这样。如需创建数据集，必须向父容器（即项目）中的角色授予 bigquery.datasets.create 权限。

下表列出了数据集的所有权限以及可应用相应权限的最低级资源。

权限	资源	操作
`bigquery.datasets.create`	项目	在项目中创建新数据集。
`bigquery.datasets.get`	数据集	获取数据集的元数据和访问权限控制。在控制台中查看权限还需要 `bigquery.datasets.getIamPolicy` 权限。
`bigquery.datasets.getIamPolicy`	数据集	控制台需要此权限才能向用户授予获取数据集访问权限控制的权限。应急开启。控制台还需要 `bigquery.datasets.get` 权限才能查看数据集。
`bigquery.datasets.update`	数据集	更新数据集的元数据和访问权限控制。在控制台中更新访问权限控制还需要 `bigquery.datasets.setIamPolicy` 权限。
`bigquery.datasets.setIamPolicy`	数据集	控制台需要此权限才能向用户授予设置数据集访问权限控制的权限。应急开启。控制台还需要 `bigquery.datasets.update` 权限才能更新数据集。
`bigquery.datasets.delete`	数据集	删除数据集。
`bigquery.datasets.createTagBinding`	数据集	将标记附加到数据集。
`bigquery.datasets.deleteTagBinding`	数据集	从数据集中分离标记。
`bigquery.datasets.listTagBindings`	数据集	列出数据集的标记。
`bigquery.datasets.listEffectiveTags`	数据集	列出数据集的有效标记（已应用和已继承）。
`bigquery.datasets.link`	数据集	创建关联数据集。
`bigquery.datasets.listSharedDatasetUsage`	项目	列出您有权访问的项目中共享数据集的使用情况统计信息。查询 `INFORMATION_SCHEMA.SHARED_DATASET_USAGE` 视图需要此权限。

查看数据集的访问权限控制

您可以选择以下任一选项，查看为数据集明确设置的访问权限控制。如需查看继承的角色，请使用 BigQuery 网页界面。

控制台

前往 BigQuery 页面。

转到 BigQuery
在浏览器窗格中，展开您的项目，然后选择数据集。
点击 共享 > 权限。

数据集的访问权限控制会显示在数据集权限窗格中。

bq

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
要获取现有政策并将其输出到 JSON 格式的本地文件，请使用 Cloud Shell 中的 bq show 命令：
```
bq show \
   --format=prettyjson \
   PROJECT_ID:DATASET > PATH_TO_FILE
```
请替换以下内容：
- PROJECT_ID：您的项目 ID
- DATASET：您的数据集的名称。
- PATH_TO_FILE：本地机器上 JSON 文件的路径

SQL

查询 INFORMATION_SCHEMA.OBJECT_PRIVILEGES 视图。检索数据集的访问权限控制的查询必须指定 object_name。

在 Google Cloud 控制台中，前往 BigQuery 页面。

转到 BigQuery
在查询编辑器中，输入以下语句：
```
SELECT
COLUMN_LIST
FROM
  PROJECT_ID.`region-REGION`.INFORMATION_SCHEMA.OBJECT_PRIVILEGES
WHERE
object_name = "DATASET";
```
替换以下内容：
- COLUMN_LIST：INFORMATION_SCHEMA.OBJECT_PRIVILEGES 视图中列的英文逗号分隔列表
- PROJECT_ID：您的项目 ID
- REGION：区域限定符
- DATASET：项目中的数据集的名称
点击运行。

如需详细了解如何运行查询，请参阅运行交互式查询。

示例：

此查询可获取 mydataset 的访问权限控制。

SELECT
object_name, privilege_type, grantee
FROM
my_project.`region-us`.INFORMATION_SCHEMA.OBJECT_PRIVILEGES
WHERE
object_name = "mydataset";

输出应如下所示：

+------------------+-----------------------------+-------------------------+
|   object_name    |  privilege_type             | grantee                 |
+------------------+-----------------------------+-------------------------+
| mydataset        | roles/bigquery.dataOwner    | projectOwner:myproject  |
| mydataset        | roles/bigquery.dataViwer    | user:user@example.com   |
+------------------+-----------------------------+-------------------------+

API

如需查看数据集的访问权限控制，请使用定义的 dataset 资源调用 datasets.get 方法。

访问权限控制显示在 dataset 资源的 access 属性中。

Go

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Go 设置说明进行操作。如需了解详情，请参阅 BigQuery Go API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

调用 client.Dataset().Metadata() 函数。访问权限政策可在 Access 属性中找到。

import (
	"context"
	"fmt"
	"io"

	"cloud.google.com/go/bigquery"
)

// viewDatasetAccessPolicies retrieves the ACL for the given dataset
// For more information on the types of ACLs available see:
// https://cloud.google.com/storage/docs/access-control/lists
func viewDatasetAccessPolicies(w io.Writer, projectID, datasetID string) error {
	// TODO(developer): uncomment and update the following lines:
	// projectID := "my-project-id"
	// datasetID := "mydataset"

	ctx := context.Background()

	// Create new client.
	client, err := bigquery.NewClient(ctx, projectID)
	if err != nil {
		return fmt.Errorf("bigquery.NewClient: %w", err)
	}
	defer client.Close()

	// Get dataset's metadata.
	meta, err := client.Dataset(datasetID).Metadata(ctx)
	if err != nil {
		return fmt.Errorf("bigquery.Client.Dataset.Metadata: %w", err)
	}

	fmt.Fprintf(w, "Details for Access entries in dataset %v.\n", datasetID)

	// Iterate over access permissions.
	for _, access := range meta.Access {
		fmt.Fprintln(w)
		fmt.Fprintf(w, "Role: %s\n", access.Role)
		fmt.Fprintf(w, "Entity: %v\n", access.Entity)
	}

	return nil
}

Java

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Java 设置说明进行操作。如需了解详情，请参阅 BigQuery Java API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。


import com.google.cloud.bigquery.Acl;
import com.google.cloud.bigquery.BigQuery;
import com.google.cloud.bigquery.BigQueryException;
import com.google.cloud.bigquery.BigQueryOptions;
import com.google.cloud.bigquery.Dataset;
import com.google.cloud.bigquery.DatasetId;
import java.util.List;

public class GetDatasetAccessPolicy {

  public static void main(String[] args) {
    // TODO(developer): Replace these variables before running the sample.
    // Project and dataset from which to get the access policy.
    String projectId = "MY_PROJECT_ID";
    String datasetName = "MY_DATASET_NAME";
    getDatasetAccessPolicy(projectId, datasetName);
  }

  public static void getDatasetAccessPolicy(String projectId, String datasetName) {
    try {
      // Initialize client that will be used to send requests. This client only needs to be created
      // once, and can be reused for multiple requests.
      BigQuery bigquery = BigQueryOptions.getDefaultInstance().getService();

      // Create datasetId with the projectId and the datasetName.
      DatasetId datasetId = DatasetId.of(projectId, datasetName);
      Dataset dataset = bigquery.getDataset(datasetId);

      // Show ACL details.
      // Find more information about ACL and the Acl Class here:
      // https://cloud.google.com/storage/docs/access-control/lists
      // https://cloud.google.com/java/docs/reference/google-cloud-bigquery/latest/com.google.cloud.bigquery.Acl
      List<Acl> acls = dataset.getAcl();
      System.out.println("ACLs in dataset \"" + dataset.getDatasetId().getDataset() + "\":");
      System.out.println(acls.toString());
      for (Acl acl : acls) {
        System.out.println();
        System.out.println("Role: " + acl.getRole());
        System.out.println("Entity: " + acl.getEntity());
      }
    } catch (BigQueryException e) {
      System.out.println("ACLs info not retrieved. \n" + e.toString());
    }
  }
}

Node.js

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Node.js 设置说明进行操作。如需了解详情，请参阅 BigQuery Node.js API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

使用 Dataset#getMetadata() 函数检索数据集元数据。访问权限政策可在生成的元数据对象的 access 属性中找到。


/**
 * TODO(developer): Update and un-comment below lines
 */
// const datasetId = "my_project_id.my_dataset";

const {BigQuery} = require('@google-cloud/bigquery');

// Instantiate a client.
const bigquery = new BigQuery();

async function viewDatasetAccessPolicy() {
  const dataset = bigquery.dataset(datasetId);

  const [metadata] = await dataset.getMetadata();
  const accessEntries = metadata.access || [];

  // Show the list of AccessEntry objects.
  // More details about the AccessEntry object in the BigQuery documentation:
  // https://cloud.google.com/nodejs/docs/reference/bigquery/latest
  console.log(
    `${accessEntries.length} Access entries in dataset '${datasetId}':`
  );
  for (const accessEntry of accessEntries) {
    console.log(`Role: ${accessEntry.role || 'null'}`);
    console.log(`Special group: ${accessEntry.specialGroup || 'null'}`);
    console.log(`User by Email: ${accessEntry.userByEmail || 'null'}`);
  }
}

Python

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Python 设置说明进行操作。如需了解详情，请参阅 BigQuery Python API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

调用 client.get_dataset() 函数。访问权限政策可在 dataset.access_entries 属性中找到。

from google.cloud import bigquery

# Instantiate a client.
client = bigquery.Client()

# TODO(developer): Update and uncomment the lines below.

# Dataset from which to get the access policy.
# dataset_id = "my_dataset"

# Get a reference to the dataset.
dataset = client.get_dataset(dataset_id)

# Show the list of AccessEntry objects.
# More details about the AccessEntry object here:
# https://cloud.google.com/python/docs/reference/bigquery/latest/google.cloud.bigquery.dataset.AccessEntry
print(
    f"{len(dataset.access_entries)} Access entries found "
    f"in dataset '{dataset_id}':"
)

for access_entry in dataset.access_entries:
    print()
    print(f"Role: {access_entry.role}")
    print(f"Special group: {access_entry.special_group}")
    print(f"User by Email: {access_entry.user_by_email}")

撤消对数据集的访问权限

如需撤消对数据集的访问权限，请选择以下选项之一：

控制台

前往 BigQuery 页面。

转到 BigQuery
在浏览器面板中，展开您的项目并选择数据集。
在详细信息面板中，点击共享 > 权限。
在数据集权限对话框中，展开要撤消其访问权限的主账号。
点击 移除主账号。
在从主账号中移除角色？对话框中，点击移除。
要返回数据集详细信息，请点击关闭。

SQL

如需移除主账号对数据集的访问权限，请使用 REVOKE DCL 语句：

在 Google Cloud 控制台中，前往 BigQuery 页面。

转到 BigQuery
在查询编辑器中，输入以下语句：
```
REVOKE `ROLE_LIST`
ON SCHEMA RESOURCE_NAME
FROM "USER_LIST"
```
请替换以下内容：
- ROLE_LIST：您要撤消权限的角色或角色列表（以英文逗号分隔）
- RESOURCE_NAME：您要撤消的权限所针对的资源的名称
- USER_LIST：将撤消其角色的用户的列表（以英文逗号分隔）
  
  如需查看有效格式的列表，请参阅 user_list。
点击运行。

如需详细了解如何运行查询，请参阅运行交互式查询。

以下示例会撤消 myDataset 的 BigQuery Data Owner 角色：

REVOKE `roles/bigquery.dataOwner`
ON SCHEMA `myProject`.myDataset
FROM "group:group@example.com", "serviceAccount:user@test-project.iam.gserviceaccount.com"

bq

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
要将现有数据集信息（包括访问权限控制）写入 JSON 文件，请使用 bq show 命令：
```
bq show \
    --format=prettyjson \
    PROJECT_ID:DATASET > PATH_TO_FILE
```
请替换以下内容：
- PROJECT_ID：您的项目 ID
- DATASET：您的数据集的名称
- PATH_TO_FILE：本地机器上 JSON 文件的路径

对 JSON 文件的 access 部分进行更改。您可以移除以下任何 specialGroup 条目：projectOwners、projectWriters、projectReaders 和 allAuthenticatedUsers。您还可以移除以下任何一项：userByEmail、groupByEmail 和 domain。

例如，数据集 JSON 文件的 access 部分可能如下所示：

{
 "access": [
  {
   "role": "READER",
   "specialGroup": "projectReaders"
  },
  {
   "role": "WRITER",
   "specialGroup": "projectWriters"
  },
  {
   "role": "OWNER",
   "specialGroup": "projectOwners"
  },
  {
   "role": "READER",
   "specialGroup": "allAuthenticatedUsers"
  },
  {
   "role": "READER",
   "domain": "domain_name"
  },
  {
   "role": "WRITER",
   "userByEmail": "user_email"
  },
  {
   "role": "READER",
   "groupByEmail": "group_email"
  }
 ],
 ...
}

修改完成后，运行 bq update 命令，并用 --source 标志包括该 JSON 文件。如果数据集不在默认项目中，请按以下格式将相应项目 ID 添加到数据集名称中：PROJECT_ID:DATASET。

注意：包含访问权限控制设置的 JSON 文件生效后，现有的设置将被覆盖。
```
  bq update 

      --source PATH_TO_FILE 

      PROJECT_ID:DATASET
  
```
如需验证您的访问权限控制是否发生了变化，请使用 show 命令，但不要将信息写入文件：
```
bq show --format=prettyjson PROJECT_ID:DATASET
```

API

调用 datasets.patch 方法并使用 Dataset 资源中的 access 属性更新访问权限控制。

由于 datasets.update 方法会替换整个数据集资源，因此 datasets.patch 是更新访问权限控制的首选方法。

Go

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Go 设置说明进行操作。如需了解详情，请参阅 BigQuery Go API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

通过使用 DatasetMetadataToUpdate 类型从现有列表中移除条目来设置新的访问权限列表。然后调用 dataset.Update() 函数以更新该属性。

import (
	"context"
	"fmt"
	"io"

	"cloud.google.com/go/bigquery"
)

// revokeAccessToDataset creates a new ACL removing the dataset access to "example-analyst-group@google.com" entity
// For more information on the types of ACLs available see:
// https://cloud.google.com/storage/docs/access-control/lists
func revokeAccessToDataset(w io.Writer, projectID, datasetID, entity string) error {
	// TODO(developer): uncomment and update the following lines:
	// projectID := "my-project-id"
	// datasetID := "mydataset"
	// entity := "user@mydomain.com"

	ctx := context.Background()

	// Create BigQuery client.
	client, err := bigquery.NewClient(ctx, projectID)
	if err != nil {
		return fmt.Errorf("bigquery.NewClient: %w", err)
	}
	defer client.Close()

	// Get dataset handler
	dataset := client.Dataset(datasetID)

	// Get dataset metadata
	meta, err := dataset.Metadata(ctx)
	if err != nil {
		return err
	}

	// Create new access entry list by copying the existing and omiting the access entry entity value
	var newAccessList []*bigquery.AccessEntry
	for _, entry := range meta.Access {
		if entry.Entity != entity {
			newAccessList = append(newAccessList, entry)
		}
	}

	// Only proceed with update if something in the access list was removed.
	// Additionally, we use the ETag from the initial metadata to ensure no
	// other changes were made to the access list in the interim.
	if len(newAccessList) < len(meta.Access) {
		update := bigquery.DatasetMetadataToUpdate{
			Access: newAccessList,
		}
		meta, err = dataset.Update(ctx, update, meta.ETag)
		if err != nil {
			return err
		}
	} else {
		return fmt.Errorf("any access entry was revoked")
	}

	fmt.Fprintf(w, "Details for Access entries in dataset %v.\n", datasetID)

	for _, access := range meta.Access {
		fmt.Fprintln(w)
		fmt.Fprintf(w, "Role: %s\n", access.Role)
		fmt.Fprintf(w, "Entity: %v\n", access.Entity)
	}

	return nil
}

Java

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Java 设置说明进行操作。如需了解详情，请参阅 BigQuery Java API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。


import com.google.cloud.bigquery.Acl;
import com.google.cloud.bigquery.Acl.Entity;
import com.google.cloud.bigquery.Acl.Group;
import com.google.cloud.bigquery.BigQuery;
import com.google.cloud.bigquery.BigQueryException;
import com.google.cloud.bigquery.BigQueryOptions;
import com.google.cloud.bigquery.Dataset;
import com.google.cloud.bigquery.DatasetId;
import java.util.List;

public class RevokeDatasetAccess {

  public static void main(String[] args) {
    // TODO(developer): Replace these variables before running the sample.
    // Project and dataset from which to get the access policy.
    String projectId = "MY_PROJECT_ID";
    String datasetName = "MY_DATASET_NAME";
    // Group to remove from the ACL
    String entityEmail = "group-to-remove@example.com";

    revokeDatasetAccess(projectId, datasetName, entityEmail);
  }

  public static void revokeDatasetAccess(String projectId, String datasetName, String entityEmail) {
    try {
      // Initialize client that will be used to send requests. This client only needs
      // to be created once, and can be reused for multiple requests.
      BigQuery bigquery = BigQueryOptions.getDefaultInstance().getService();

      // Create datasetId with the projectId and the datasetName.
      DatasetId datasetId = DatasetId.of(projectId, datasetName);
      Dataset dataset = bigquery.getDataset(datasetId);

      // Create a new Entity with the corresponding type and email
      // "user-or-group-to-remove@example.com"
      // For more information on the types of Entities available see:
      // https://cloud.google.com/java/docs/reference/google-cloud-bigquery/latest/com.google.cloud.bigquery.Acl.Entity
      // and
      // https://cloud.google.com/java/docs/reference/google-cloud-bigquery/latest/com.google.cloud.bigquery.Acl.Entity.Type
      Entity entity = new Group(entityEmail);

      // To revoke access to a dataset, remove elements from the Acl list.
      // Find more information about ACL and the Acl Class here:
      // https://cloud.google.com/storage/docs/access-control/lists
      // https://cloud.google.com/java/docs/reference/google-cloud-bigquery/latest/com.google.cloud.bigquery.Acl
      // Remove the entity from the ACLs list.
      List<Acl> acls =
          dataset.getAcl().stream().filter(acl -> !acl.getEntity().equals(entity)).toList();

      // Update the ACLs by setting the new list.
      bigquery.update(dataset.toBuilder().setAcl(acls).build());
      System.out.println("ACLs of \"" + datasetName + "\" updated successfully");
    } catch (BigQueryException e) {
      System.out.println("ACLs were not updated \n" + e.toString());
    }
  }
}

Node.js

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Node.js 设置说明进行操作。如需了解详情，请参阅 BigQuery Node.js API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

使用 Dataset#get() 方法检索当前元数据方法，从现有列表中移除指定条目，从而更新数据集访问权限列表。修改访问权限属性以排除所需的实体，然后调用 Dataset#setMetadata() 函数来应用更新后的访问权限列表。


/**
 * TODO(developer): Update and un-comment below lines
 */

// const datasetId = "my_project_id.my_dataset"

// ID of the user or group from whom you are revoking access.
// const entityId = "user-or-group-to-remove@example.com"

const {BigQuery} = require('@google-cloud/bigquery');

// Instantiate a client.
const bigquery = new BigQuery();

async function revokeDatasetAccess() {
  const [dataset] = await bigquery.dataset(datasetId).get();

  // To revoke access to a dataset, remove elements from the access list.
  //
  // See the BigQuery client library documentation for more details on access entries:
  // https://cloud.google.com/nodejs/docs/reference/bigquery/latest

  // Filter access entries to exclude entries matching the specified entity_id
  // and assign a new list back to the access list.
  dataset.metadata.access = dataset.metadata.access.filter(entry => {
    return !(
      entry.entity_id === entityId ||
      entry.userByEmail === entityId ||
      entry.groupByEmail === entityId
    );
  });

  // Update will only succeed if the dataset
  // has not been modified externally since retrieval.
  //
  // See the BigQuery client library documentation for more details on metadata updates:
  // https://cloud.google.com/bigquery/docs/updating-datasets

  // Update just the 'access entries' property of the dataset.
  await dataset.setMetadata(dataset.metadata);

  console.log(`Revoked access to '${entityId}' from '${datasetId}'.`);
}

Python

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Python 设置说明进行操作。如需了解详情，请参阅 BigQuery Python API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

使用数据集的访问权限控制来设置 dataset.access_entries 属性。然后调用 client.update_dataset() 函数以更新该属性。

from google.cloud import bigquery
from google.api_core.exceptions import PreconditionFailed

# TODO(developer): Update and uncomment the lines below.

# ID of the dataset to revoke access to.
# dataset_id = "my-project.my_dataset"

# ID of the user or group from whom you are revoking access.
# Alternatively, the JSON REST API representation of the entity,
# such as a view's table reference.
# entity_id = "user-or-group-to-remove@example.com"

# Instantiate a client.
client = bigquery.Client()

# Get a reference to the dataset.
dataset = client.get_dataset(dataset_id)

# To revoke access to a dataset, remove elements from the AccessEntry list.
#
# See the BigQuery client library documentation for more details on `access_entries`:
# https://cloud.google.com/python/docs/reference/bigquery/latest/google.cloud.bigquery.dataset.Dataset#google_cloud_bigquery_dataset_Dataset_access_entries

# Filter `access_entries` to exclude entries matching the specified entity_id
# and assign a new list back to the AccessEntry list.
dataset.access_entries = [
    entry for entry in dataset.access_entries
    if entry.entity_id != entity_id
]

# Update will only succeed if the dataset
# has not been modified externally since retrieval.
#
# See the BigQuery client library documentation for more details on `update_dataset`:
# https://cloud.google.com/python/docs/reference/bigquery/latest/google.cloud.bigquery.client.Client#google_cloud_bigquery_client_Client_update_dataset
try:
    # Update just the `access_entries` property of the dataset.
    dataset = client.update_dataset(
        dataset,
        ["access_entries"],
    )

    # Notify user that the API call was successful.
    full_dataset_id = f"{dataset.project}.{dataset.dataset_id}"
    print(f"Revoked dataset access for '{entity_id}' to ' dataset '{full_dataset_id}.'")
except PreconditionFailed:  # A read-modify-write error.
    print(
        f"Dataset '{dataset.dataset_id}' was modified remotely before this update. "
        "Fetch the latest version and retry."
    )

使用表和视图访问权限控制

在 BigQuery 中，视图作为表资源处理。您可以向 IAM 主账号授予预定义角色或自定义角色，以提供对表或视图的访问权限。这些角色决定了主账号可以对表或视图执行哪些操作。这也称为将允许政策附加到资源。授予访问权限后，您可以查看表或视图的访问权限控制，也可以撤消对表或视图的访问权限。

授予对表或视图的访问权限

如需实现精细的访问权限控制，您可以针对特定表或视图授予预定义或自定义 IAM 角色。表或视图还会继承在数据集级层及更高级层指定的访问权限控制。例如，如果您向某个主账号授予对某个数据集的 BigQuery Data Owner 角色，则该主账号还拥有对该数据集中的表和视图的 BigQuery Data Owner 权限。

如需授予对表或视图的访问权限，请选择以下选项之一：

控制台

前往 BigQuery 页面。

转到 BigQuery
在浏览器窗格中，展开您的项目，然后选择要共享的表或视图。
点击共享。
点击 添加主账号。
在新的主账号字段中，输入主账号。
在选择角色列表中，选择预定义角色或自定义角色。
点击保存。
要返回以查看表或视图详细信息，请点击关闭。

SQL

如需向主账号授予对表或视图的访问权限，请使用 GRANT DCL 语句：

在 Google Cloud 控制台中，前往 BigQuery 页面。

转到 BigQuery
在查询编辑器中，输入以下语句：
```
GRANT `ROLE_LIST`
ON RESOURCE_TYPE RESOURCE_NAME
TO "USER_LIST"
```
请替换以下内容：
- ROLE_LIST：您要授予权限的角色或以英文逗号分隔的角色列表
- RESOURCE_TYPE：角色适用的资源类型
  
  支持的值包括 TABLE、VIEW、MATERIALIZED VIEW 和 EXTERNAL TABLE。
- RESOURCE_NAME：您要向其授予权限的资源的名称
- USER_LIST：为其授予角色的以英文逗号分隔的用户列表。
  
  如需查看有效格式的列表，请参阅 user_list。
点击运行。

如需详细了解如何运行查询，请参阅运行交互式查询。

以下示例会针对 myTable 授予 BigQuery Data Viewer 角色：

GRANT `roles/bigquery.dataViewer`
ON TABLE `myProject`.myDataset.myTable
TO "user:user@example.com", "user:user2@example.com"

bq

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
如需授予对表或视图的访问权限，请使用 bq add-iam-policy-binding 命令：
```
bq add-iam-policy-binding --member=MEMBER_TYPE:MEMBER --role=ROLE
  --table=true RESOURCE
```
请替换以下内容：
- MEMBER_TYPE：成员类型，例如 user、group、serviceAccount 或 domain。
- MEMBER：成员的电子邮件地址或域名。
- ROLE：您要向成员授予的角色。
- RESOURCE：您要更新其政策的表或视图的名称。

Terraform

使用 google_bigquery_table_iam 资源可更新对表的访问权限。

为表设置访问权限政策

以下示例展示了如何使用 google_bigquery_table_iam_policy 资源为 mytable 为设置 IAM 政策。这会替换已附加到该表的任何现有政策：

# This file sets the IAM policy for the table created by
# https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_table/main.tf.
# You must place it in the same local directory as that main.tf file,
# and you must have already applied that main.tf file to create
# the "default" table resource with a table_id of "mytable".

data "google_iam_policy" "iam_policy" {
  binding {
    role = "roles/bigquery.dataOwner"
    members = [
      "user:user@example.com",
    ]
  }
}

resource "google_bigquery_table_iam_policy" "table_iam_policy" {
  dataset_id  = google_bigquery_table.default.dataset_id
  table_id    = google_bigquery_table.default.table_id
  policy_data = data.google_iam_policy.iam_policy.policy_data
}

为表设置角色成员资格

以下示例展示了如何使用 google_bigquery_table_iam_binding 资源为 mytable 表设置给定角色的成员资格。这会替换该角色中的任何现有成员资格。表 IAM 政策中的其他角色会保留。

# This file sets membership in an IAM role for the table created by
# https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_table/main.tf.
# You must place it in the same local directory as that main.tf file,
# and you must have already applied that main.tf file to create
# the "default" table resource with a table_id of "mytable".

resource "google_bigquery_table_iam_binding" "table_iam_binding" {
  dataset_id = google_bigquery_table.default.dataset_id
  table_id   = google_bigquery_table.default.table_id
  role       = "roles/bigquery.dataOwner"

  members = [
    "group:group@example.com",
  ]
}

为单个主账号设置角色成员资格

以下示例展示了如何使用 google_bigquery_table_iam_member 资源更新 mytable 表的 IAM 政策，以向一个主账号授予角色。更新此 IAM 政策不会影响已针对相应数据集授予该角色的任何其他主账号的访问权限。

# This file adds a member to an IAM role for the table created by
# https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_table/main.tf.
# You must place it in the same local directory as that main.tf file,
# and you must have already applied that main.tf file to create
# the "default" table resource with a table_id of "mytable".

resource "google_bigquery_table_iam_member" "table_iam_member" {
  dataset_id = google_bigquery_table.default.dataset_id
  table_id   = google_bigquery_table.default.table_id
  role       = "roles/bigquery.dataEditor"
  member     = "serviceAccount:bqcx-1234567891011-12a3@gcp-sa-bigquery-condel.iam.gserviceaccount.com"
}

如需在 Google Cloud 项目中应用 Terraform 配置，请完成以下部分中的步骤。

准备 Cloud Shell

启动 Cloud Shell。
设置要应用 Terraform 配置的默认 Google Cloud 项目。

您只需为每个项目运行一次以下命令，即可在任何目录中运行它。
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
如果您在 Terraform 配置文件中设置显式值，则环境变量会被替换。

准备目录

每个 Terraform 配置文件都必须有自己的目录（也称为“根模块”）。

在 Cloud Shell 中，创建一个目录，并在该目录中创建一个新文件。文件名必须具有 .tf 扩展名，例如 main.tf。在本教程中，该文件称为 main.tf。
```
mkdir DIRECTORY && cd DIRECTORY && touch main.tf
```
如果您按照教程进行操作，可以在每个部分或步骤中复制示例代码。

将示例代码复制到新创建的 main.tf 中。

（可选）从 GitHub 中复制代码。如果端到端解决方案包含 Terraform 代码段，则建议这样做。
查看和修改要应用到您的环境的示例参数。
保存更改。
初始化 Terraform。您只需为每个目录执行一次此操作。
```
terraform init
```
（可选）如需使用最新的 Google 提供程序版本，请添加 -upgrade 选项：
```
terraform init -upgrade
```

应用更改

查看配置并验证 Terraform 将创建或更新的资源是否符合您的预期：
```
terraform plan
```
根据需要更正配置。
通过运行以下命令并在提示符处输入 yes 来应用 Terraform 配置：
```
terraform apply
```
等待 Terraform 显示“应用完成！”消息。
打开您的 Google Cloud 项目以查看结果。在 Google Cloud 控制台的界面中找到资源，以确保 Terraform 已创建或更新它们。

API

如需检索当前政策，请调用 tables.getIamPolicy 方法。
修改该政策以添加成员和/或访问权限控制。如需了解政策所需的格式，请参阅政策参考主题。

注意：设置政策之前，请始终检索当前政策，以获取 etag 的当前值。更新后的政策文件必须包含与您要替换的当前政策相同的 etag 值，否则更新将会失败。此功能可防止发生并发更新。

在政策文件中，version 的值仍为 1。此版本号指的是 IAM 政策架构版本，而不是政策版本。etag 值是政策版本号。
调用 tables.setIamPolicy 以写入更新后的政策。

注意：不允许没有任何成员的空绑定，这样的空绑定将导致错误。

Go

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Go 设置说明进行操作。如需了解详情，请参阅 BigQuery Go API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

调用资源的 IAM().SetPolicy() 函数，以保存对表或视图的访问权限政策所做的更改。

import (
	"context"
	"fmt"
	"io"

	"cloud.google.com/go/bigquery"
	"cloud.google.com/go/iam"
)

// grantAccessToResource creates a new ACL conceding the VIEWER role to the group "example-analyst-group@google.com"
// For more information on the types of ACLs available see:
// https://cloud.google.com/storage/docs/access-control/lists
func grantAccessToResource(w io.Writer, projectID, datasetID, resourceID string) error {
	// Resource can be a table or a view
	//
	// TODO(developer): uncomment and update the following lines:
	// projectID := "my-project-id"
	// datasetID := "mydataset"
	// resourceID := "myresource"

	ctx := context.Background()

	// Create new client
	client, err := bigquery.NewClient(ctx, projectID)
	if err != nil {
		return fmt.Errorf("bigquery.NewClient: %w", err)
	}
	defer client.Close()

	// Get resource policy.
	policy, err := client.Dataset(datasetID).Table(resourceID).IAM().Policy(ctx)
	if err != nil {
		return fmt.Errorf("bigquery.Dataset.Table.IAM.Policy: %w", err)
	}

	// Find more details about IAM Roles here:
	// https://pkg.go.dev/cloud.google.com/go/iam#RoleName
	entityID := "example-analyst-group@google.com"
	roleType := iam.Viewer

	// Add new policy.
	policy.Add(fmt.Sprintf("group:%s", entityID), roleType)

	// Update resource's policy.
	err = client.Dataset(datasetID).Table(resourceID).IAM().SetPolicy(ctx, policy)
	if err != nil {
		return fmt.Errorf("bigquery.Dataset.Table.IAM.Policy: %w", err)
	}

	// Get resource policy again expecting the update.
	policy, err = client.Dataset(datasetID).Table(resourceID).IAM().Policy(ctx)
	if err != nil {
		return fmt.Errorf("bigquery.Dataset.Table.IAM.Policy: %w", err)
	}

	fmt.Fprintf(w, "Details for Access entries in table or view %v.\n", resourceID)

	for _, role := range policy.Roles() {
		fmt.Fprintln(w)
		fmt.Fprintf(w, "Role: %s\n", role)
		fmt.Fprintf(w, "Entities: %v\n", policy.Members(role))
	}

	return nil
}

Java

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Java 设置说明进行操作。如需了解详情，请参阅 BigQuery Java API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

import com.google.cloud.Identity;
import com.google.cloud.Policy;
import com.google.cloud.Role;
import com.google.cloud.bigquery.BigQuery;
import com.google.cloud.bigquery.BigQueryException;
import com.google.cloud.bigquery.BigQueryOptions;
import com.google.cloud.bigquery.TableId;

public class GrantAccessToTableOrView {

  public static void main(String[] args) {
    // TODO(developer): Replace these variables before running the sample.
    // Project, dataset and resource (table or view) from which to get the access policy.
    String projectId = "MY_PROJECT_ID";
    String datasetName = "MY_DATASET_NAME";
    String resourceName = "MY_TABLE_NAME";
    // Role to add to the policy access
    Role role = Role.of("roles/bigquery.dataViewer");
    // Identity to add to the policy access
    Identity identity = Identity.user("user-add@example.com");
    grantAccessToTableOrView(projectId, datasetName, resourceName, role, identity);
  }

  public static void grantAccessToTableOrView(
      String projectId, String datasetName, String resourceName, Role role, Identity identity) {
    try {
      // Initialize client that will be used to send requests. This client only needs
      // to be created once, and can be reused for multiple requests.
      BigQuery bigquery = BigQueryOptions.getDefaultInstance().getService();

      // Create table identity given the projectId, the datasetName and the resourceName.
      TableId tableId = TableId.of(projectId, datasetName, resourceName);

      // Add new user identity to current IAM policy.
      Policy policy = bigquery.getIamPolicy(tableId);
      policy = policy.toBuilder().addIdentity(role, identity).build();

      // Update the IAM policy by setting the new one.
      bigquery.setIamPolicy(tableId, policy);

      System.out.println("IAM policy of resource \"" + resourceName + "\" updated successfully");
    } catch (BigQueryException e) {
      System.out.println("IAM policy was not updated. \n" + e.toString());
    }
  }
}

Node.js

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Node.js 设置说明进行操作。如需了解详情，请参阅 BigQuery Node.js API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

调用 Table#getIamPolicy() 函数以检索表或视图的当前 IAM 政策，通过添加新绑定来修改该政策，然后使用 Table#setIamPolicy() 函数保存对访问权限政策的更改。


/**
 * TODO(developer): Update and un-comment below lines
 */
// const projectId = "YOUR_PROJECT_ID";
// const datasetId = "YOUR_DATASET_ID";
// const tableId = "YOUR_TABLE_ID";
// const principalId = "YOUR_PRINCIPAL_ID";
// const role = "YOUR_ROLE";

const {BigQuery} = require('@google-cloud/bigquery');

// Instantiate a client.
const client = new BigQuery();

async function grantAccessToTableOrView() {
  const dataset = client.dataset(datasetId);
  const table = dataset.table(tableId);

  // Get the IAM access policy for the table or view.
  const [policy] = await table.getIamPolicy();

  // Initialize bindings array.
  if (!policy.bindings) {
    policy.bindings = [];
  }

  // To grant access to a table or view
  // add bindings to the Table or View policy.
  //
  // Find more details about Policy and Binding objects here:
  // https://cloud.google.com/security-command-center/docs/reference/rest/Shared.Types/Policy
  // https://cloud.google.com/security-command-center/docs/reference/rest/Shared.Types/Binding
  const binding = {
    role,
    members: [principalId],
  };
  policy.bindings.push(binding);

  // Set the IAM access policy with updated bindings.
  await table.setIamPolicy(policy);

  // Show a success message.
  console.log(
    `Role '${role}' granted for principal '${principalId}' on resource '${datasetId}.${tableId}'.`
  );
}

await grantAccessToTableOrView();

Python

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Python 设置说明进行操作。如需了解详情，请参阅 BigQuery Python API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

调用 client.set_iam_policy() 函数以保存对表或视图的访问权限政策所做的更改。

from google.cloud import bigquery

# TODO(developer): Update and uncomment the lines below.

# Google Cloud Platform project.
# project_id = "my_project_id"

# Dataset where the table or view is.
# dataset_id = "my_dataset"

# Table or view name to get the access policy.
# resource_name = "my_table"

# Principal to grant access to a table or view.
# For more information about principal identifiers see:
# https://cloud.google.com/iam/docs/principal-identifiers
# principal_id = "user:bob@example.com"

# Role to grant to the principal.
# For more information about BigQuery roles see:
# https://cloud.google.com/bigquery/docs/access-control
# role = "roles/bigquery.dataViewer"

# Instantiate a client.
client = bigquery.Client()

# Get the full table or view name.
full_resource_name = f"{project_id}.{dataset_id}.{resource_name}"

# Get the IAM access policy for the table or view.
policy = client.get_iam_policy(full_resource_name)

# To grant access to a table or view, add bindings to the IAM policy.
#
# Find more details about Policy and Binding objects here:
# https://cloud.google.com/security-command-center/docs/reference/rest/Shared.Types/Policy
# https://cloud.google.com/security-command-center/docs/reference/rest/Shared.Types/Binding
binding = {
    "role": role,
    "members": [principal_id, ],
}
policy.bindings.append(binding)

# Set the IAM access policy with updated bindings.
updated_policy = client.set_iam_policy(full_resource_name, policy)

# Show a success message.
print(
    f"Role '{role}' granted for principal '{principal_id}'"
    f" on resource '{full_resource_name}'."
)

授予对表和视图的访问权限的预定义角色

在 BigQuery 中，视图作为表资源处理。如需进行精细的访问权限控制，您可以针对特定表或视图授予预定义或自定义 IAM 角色。表或视图还会继承在数据集级层及更高级层指定的访问权限控制。例如，如果您向某个主账号授予某个数据集的 BigQuery Data Owner 角色，该主账号还拥有该数据集中的表和视图的 Data Owner 权限。

以下预定义的 IAM 角色具有表或视图的权限。

角色	说明
BigQuery Data Owner (`roles/bigquery.dataOwner`)	此角色在应用于表或视图时，可授予以下权限：针对表或视图的所有权限。行访问权限政策的所有权限，但覆盖时间旅行限制的权限除外。设置类别和列级数据政策。注意：在数据集级别被授予Data Owner角色的主账号也可以创建新表和列出数据集中的表。
BigQuery Data Editor (`roles/bigquery.dataEditor`)	此角色在应用于表或视图时，可授予以下权限：获取元数据、更新元数据、获取访问权限控制，以及删除表或视图。获取（查询）、导出、复制和更新表数据。创建、更新和删除索引。创建和恢复快照。注意：在数据集级别被授予Data Editor角色的主账号也可以创建新表并列出数据集中的表。
BigQuery Data Viewer (`roles/bigquery.dataViewer`)	此角色在应用于表或视图时，可授予以下权限：获取表或视图的元数据和访问权限控制。获取（查询）、导出和复制表数据。创建快照。注意：在数据集级层被授予 Data Viewer 角色的主账号也可以列出数据集中的表。
BigQuery Metadata Viewer (`roles/bigquery.metadataViewer`)	此角色在应用于表或视图时，可授予以下权限：获取表或视图的元数据和访问权限控制。注意：在数据集级层被授予 Metadata Viewer 角色的主账号也可以列出数据集中的表。

表和视图的权限

在 BigQuery 中，视图作为表资源处理。所有表级权限都适用于视图。

大多数以 bigquery.tables 开头的权限都适用于表级层。 bigquery.tables.create 和 bigquery.tables.list 不适用于表级层。如需创建和列出表或视图，必须向父容器（数据集或项目）中的角色授予 bigquery.tables.create 和 bigquery.tables.list 权限。

下表列出了表和视图的所有权限，以及可以授予这些权限的最低级别资源。

权限	资源	操作
`bigquery.tables.create`	数据集	在数据集中创建新表。
`bigquery.tables.createIndex`	表格	在表上创建搜索索引。
`bigquery.tables.deleteIndex`	表格	删除表上的搜索索引。
`bigquery.tables.createSnapshot`	表格	创建表的快照。创建快照需要在表级和数据集级获得多项额外权限。如需了解详情，请参阅权限和角色，了解如何创建表快照。
`bigquery.tables.deleteSnapshot`	表格	删除表的快照。
`bigquery.tables.delete`	表格	删除表。
`bigquery.tables.createTagBinding`	表格	创建表的资源标记绑定。
`bigquery.tables.deleteTagBinding`	表格	删除表的资源标记绑定。
`bigquery.tables.listTagBindings`	表格	列出表的资源标记绑定。
`bigquery.tables.listEffectiveTags`	表格	列出表的有效标记（已应用和已继承）。
`bigquery.tables.export`	表格	导出表的数据。运行导出作业还需要 `bigquery.jobs.create` 权限。
`bigquery.tables.get`	表格	获取表的元数据。
`bigquery.tables.getData`	表格	查询表的数据。运行查询作业还需要 `bigquery.jobs.create` 权限。
`bigquery.tables.getIamPolicy`	表格	获取表的访问权限控制。
`bigquery.tables.list`	数据集	列出数据集中的所有表和表元数据。
`bigquery.tables.replicateData`	表格	复制表数据。创建副本物化视图需要此权限。
`bigquery.tables.restoreSnapshot`	表格	恢复表快照。
`bigquery.tables.setCategory`	表格	在表的架构中设置政策标记。
`bigquery.tables.setColumnDataPolicy`	表格	为表设置列级访问权限政策。
`bigquery.tables.setIamPolicy`	表格	为表设置访问权限控制。
`bigquery.tables.update`	表格	更新表。此外，您还需要拥有 `metadata. bigquery.tables.get` 权限才能在控制台中更新表元数据。
`bigquery.tables.updateData`	表格	更新表数据。
`bigquery.tables.updateIndex`	表格	更新表上的搜索索引。

查看表或视图的访问权限控制

如需查看表或视图的访问权限控制，请选择以下选项之一：

控制台

前往 BigQuery 页面。

转到 BigQuery
在浏览器窗格中，展开您的项目，展开数据集，然后选择表或视图。
点击共享。

表或视图访问权限控制将显示在共享窗格中。

bq

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
要获取现有访问权限政策并将其输出到 JSON 格式的本地文件，请使用 Cloud Shell 中的 bq get-iam-policy 命令：
```
bq get-iam-policy \
    --table=true \
    PROJECT_ID:DATASET.RESOURCE > PATH_TO_FILE
```
替换以下内容：
- PROJECT_ID：您的项目 ID
- DATASET：您的数据集的名称
- RESOURCE：您要查看其政策的表或视图的名称
- PATH_TO_FILE：本地机器上 JSON 文件的路径

SQL

查询 INFORMATION_SCHEMA.OBJECT_PRIVILEGES 视图。检索表或视图的访问权限的查询必须指定 object_schema 和 object_name。

在 Google Cloud 控制台中，前往 BigQuery 页面。

转到 BigQuery
在查询编辑器中，输入以下语句：
```
SELECT
COLUMN_LIST
FROM
  PROJECT_ID.`region-REGION`.INFORMATION_SCHEMA.OBJECT_PRIVILEGES
WHERE
object_schema = "DATASET" AND object_name = "TABLE";
```
替换以下内容：
- COLUMN_LIST：INFORMATION_SCHEMA.OBJECT_PRIVILEGES 视图中列的英文逗号分隔列表
- PROJECT_ID：您的项目 ID
- REGION：区域限定符
- DATASET：包含表或视图的数据集的名称
- TABLE：表或视图的名称
点击运行。

如需详细了解如何运行查询，请参阅运行交互式查询。

示例：

SELECT
object_name, privilege_type, grantee
FROM
my_project.`region-us`.INFORMATION_SCHEMA.OBJECT_PRIVILEGES
WHERE
object_schema = "mydataset" AND object_name = "mytable";

+------------------+-----------------------------+--------------------------+
|   object_name    |  privilege_type             | grantee                  |
+------------------+-----------------------------+--------------------------+
| mytable          | roles/bigquery.dataEditor   | group:group@example.com|
| mytable          | roles/bigquery.dataOwner    | user:user@example.com|
+------------------+-----------------------------+--------------------------+

API

如需检索当前政策，请调用 tables.getIamPolicy 方法。

Go

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Go 设置说明进行操作。如需了解详情，请参阅 BigQuery Go API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

调用资源的 IAM().Policy() 函数。然后调用 Roles() 函数以获取表或视图的访问权限政策。

import (
	"context"
	"fmt"
	"io"

	"cloud.google.com/go/bigquery"
)

// viewTableOrViewAccessPolicies retrieves the ACL for the given resource
// For more information on the types of ACLs available see:
// https://cloud.google.com/storage/docs/access-control/lists
func viewTableOrViewAccessPolicies(w io.Writer, projectID, datasetID, resourceID string) error {
	// Resource can be a table or a view
	//
	// TODO(developer): uncomment and update the following lines:
	// projectID := "my-project-id"
	// datasetID := "my-dataset-id"
	// resourceID := "my-resource-id"

	ctx := context.Background()

	// Create new client.
	client, err := bigquery.NewClient(ctx, projectID)
	if err != nil {
		return fmt.Errorf("bigquery.NewClient: %w", err)
	}
	defer client.Close()

	// Get resource's policy access.
	policy, err := client.Dataset(datasetID).Table(resourceID).IAM().Policy(ctx)
	if err != nil {
		return fmt.Errorf("bigquery.Dataset.Table.IAM.Policy: %w", err)
	}

	fmt.Fprintf(w, "Details for Access entries in table or view %v.\n", resourceID)

	for _, role := range policy.Roles() {
		fmt.Fprintln(w)
		fmt.Fprintf(w, "Role: %s\n", role)
		fmt.Fprintf(w, "Entities: %v\n", policy.Members(role))
	}

	return nil
}

Java

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Java 设置说明进行操作。如需了解详情，请参阅 BigQuery Java API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。


import com.google.cloud.Policy;
import com.google.cloud.bigquery.BigQuery;
import com.google.cloud.bigquery.BigQueryException;
import com.google.cloud.bigquery.BigQueryOptions;
import com.google.cloud.bigquery.TableId;

public class GetTableOrViewAccessPolicy {

  public static void main(String[] args) {
    // TODO(developer): Replace these variables before running the sample.
    // Project, dataset and resource (table or view) from which to get the access policy.
    String projectId = "MY_PROJECT_ID";
    String datasetName = "MY_DATASET_NAME";
    String resourceName = "MY_RESOURCE_NAME";
    getTableOrViewAccessPolicy(projectId, datasetName, resourceName);
  }

  public static void getTableOrViewAccessPolicy(
      String projectId, String datasetName, String resourceName) {
    try {
      // Initialize client that will be used to send requests. This client only needs
      // to be created once, and can be reused for multiple requests.
      BigQuery bigquery = BigQueryOptions.getDefaultInstance().getService();

      // Create table identity given the projectId, the datasetName and the resourceName.
      TableId tableId = TableId.of(projectId, datasetName, resourceName);

      // Get the table IAM policy.
      Policy policy = bigquery.getIamPolicy(tableId);

      // Show policy details.
      // Find more information about the Policy Class here:
      // https://cloud.google.com/java/docs/reference/google-cloud-core/latest/com.google.cloud.Policy
      System.out.println(
          "IAM policy info of resource \"" + resourceName + "\" retrieved succesfully");
      System.out.println();
      System.out.println("IAM policy info: " + policy.toString());
    } catch (BigQueryException e) {
      System.out.println("IAM policy info not retrieved. \n" + e.toString());
    }
  }
}

Node.js

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Node.js 设置说明进行操作。如需了解详情，请参阅 BigQuery Node.js API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

使用 Table#getIamPolicy() 函数检索表或视图的 IAM 政策。访问权限政策详细信息可在返回的政策对象中找到。


/**
 * TODO(developer): Update and un-comment below lines
 */
// const projectId = "YOUR_PROJECT_ID"
// const datasetId = "YOUR_DATASET_ID"
// const resourceName = "YOUR_RESOURCE_NAME";

const {BigQuery} = require('@google-cloud/bigquery');

// Instantiate a client.
const client = new BigQuery();

async function viewTableOrViewAccessPolicy() {
  const dataset = client.dataset(datasetId);
  const table = dataset.table(resourceName);

  // Get the IAM access policy for the table or view.
  const [policy] = await table.getIamPolicy();

  // Initialize bindings if they don't exist
  if (!policy.bindings) {
    policy.bindings = [];
  }

  // Show policy details.
  // Find more details for the Policy object here:
  // https://cloud.google.com/bigquery/docs/reference/rest/v2/Policy
  console.log(`Access Policy details for table or view '${resourceName}'.`);
  console.log(`Bindings: ${JSON.stringify(policy.bindings, null, 2)}`);
  console.log(`etag: ${policy.etag}`);
  console.log(`Version: ${policy.version}`);
}

撤消对表或视图的访问权限

如需撤消对表或视图的访问权限，请选择以下选项之一：

控制台

前往 BigQuery 页面。

转到 BigQuery
在浏览器面板中，展开您的项目，展开数据集，然后选择表或视图。
在详细信息面板中，点击共享。
在共享对话框中，展开要撤消其访问权限的主账号。
点击删除。
在从主账号中移除角色？对话框中，点击移除。
要返回以查看表或视图详细信息，请点击关闭。

SQL

如需移除主账号对表或视图的访问权限，请使用 REVOKE DCL 语句：

在 Google Cloud 控制台中，前往 BigQuery 页面。

转到 BigQuery
在查询编辑器中，输入以下语句：
```
REVOKE `ROLE_LIST`
ON RESOURCE_TYPE RESOURCE_NAME
FROM "USER_LIST"
```
请替换以下内容：
- ROLE_LIST：您要撤消权限的角色或以英文逗号分隔的角色列表
- RESOURCE_TYPE：从中撤消角色权限的资源类型
  
  支持的值包括 TABLE、VIEW、MATERIALIZED VIEW 和 EXTERNAL TABLE。
- RESOURCE_NAME：您要撤消其权限的资源的名称
- USER_LIST：将撤消其角色的以英文逗号分隔的用户列表
  
  如需查看有效格式的列表，请参阅 user_list。
点击运行。

如需详细了解如何运行查询，请参阅运行交互式查询。

以下示例会撤消 myTable 的 BigQuery Data Owner 角色：

REVOKE `roles/bigquery.dataOwner`
ON TABLE `myProject`.myDataset.myTable
FROM "group:group@example.com", "serviceAccount:user@myproject.iam.gserviceaccount.com"

bq

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
如需撤消对表或视图的访问权限，请使用 bq remove-iam-policy-binding 命令：
```
bq remove-iam-policy-binding --member=MEMBER_TYPE:MEMBER --role=ROLE
--table=true RESOURCE
```
替换以下内容：
- MEMBER_TYPE：成员类型，例如 user、group、serviceAccount 或 domain
- MEMBER：成员的邮箱或域名
- ROLE：您要从成员中撤消的角色
- RESOURCE：您要更新其政策的表或视图的名称

API

如需检索当前政策，请调用 tables.getIamPolicy 方法。
修改政策以移除成员和/或绑定。如需了解政策所需的格式，请参阅政策参考主题。

注意：设置政策时，始终应先检索当前政策，以获取 etag 的当前值。更新后的政策文件必须包含与您要替换的当前政策相同的 etag 值，否则更新将会失败。此功能可防止发生并发更新。

在政策文件中，version 的值仍为 1。此版本号指的是 IAM 政策架构版本，而不是政策版本。etag 值是政策版本号。
调用 tables.setIamPolicy 以写入更新后的政策。

Go

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Go 设置说明进行操作。如需了解详情，请参阅 BigQuery Go API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

调用 policy.Remove() 函数以移除访问权限。然后，调用 IAM().SetPolicy() 函数以保存对表或视图的访问权限政策所做的更改。

import (
	"context"
	"fmt"
	"io"

	"cloud.google.com/go/bigquery"
	"cloud.google.com/go/iam"
)

// revokeTableOrViewAccessPolicies creates a new ACL removing the VIEWER role to group "example-analyst-group@google.com"
// For more information on the types of ACLs available see:
// https://cloud.google.com/storage/docs/access-control/lists
func revokeTableOrViewAccessPolicies(w io.Writer, projectID, datasetID, resourceID string) error {
	// Resource can be a table or a view
	//
	// TODO(developer): uncomment and update the following lines:
	// projectID := "my-project-id"
	// datasetID := "mydataset"
	// resourceID := "myresource"

	ctx := context.Background()

	// Create new client
	client, err := bigquery.NewClient(ctx, projectID)
	if err != nil {
		return fmt.Errorf("bigquery.NewClient: %w", err)
	}
	defer client.Close()

	// Get resource policy.
	policy, err := client.Dataset(datasetID).Table(resourceID).IAM().Policy(ctx)
	if err != nil {
		return fmt.Errorf("bigquery.Dataset.Table.IAM.Policy: %w", err)
	}

	// Find more details about IAM Roles here:
	// https://pkg.go.dev/cloud.google.com/go/iam#RoleName
	entityID := "example-analyst-group@google.com"
	roleType := iam.Viewer

	// Revoke policy access.
	policy.Remove(fmt.Sprintf("group:%s", entityID), roleType)

	// Update resource's policy.
	err = client.Dataset(datasetID).Table(resourceID).IAM().SetPolicy(ctx, policy)
	if err != nil {
		return fmt.Errorf("bigquery.Dataset.Table.IAM.Policy: %w", err)
	}

	// Get resource policy again expecting the update.
	policy, err = client.Dataset(datasetID).Table(resourceID).IAM().Policy(ctx)
	if err != nil {
		return fmt.Errorf("bigquery.Dataset.Table.IAM.Policy: %w", err)
	}

	fmt.Fprintf(w, "Details for Access entries in table or view %v.\n", resourceID)

	for _, role := range policy.Roles() {
		fmt.Fprintln(w)
		fmt.Fprintf(w, "Role: %s\n", role)
		fmt.Fprintf(w, "Entities: %v\n", policy.Members(role))
	}

	return nil
}

Java

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Java 设置说明进行操作。如需了解详情，请参阅 BigQuery Java API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

import com.google.cloud.Identity;
import com.google.cloud.Policy;
import com.google.cloud.Role;
import com.google.cloud.bigquery.BigQuery;
import com.google.cloud.bigquery.BigQueryException;
import com.google.cloud.bigquery.BigQueryOptions;
import com.google.cloud.bigquery.TableId;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;

public class RevokeAccessToTableOrView {

  public static void main(String[] args) {
    // TODO(developer): Replace these variables before running the sample.
    // Project, dataset and resource (table or view) from which to get the access policy
    String projectId = "MY_PROJECT_ID";
    String datasetName = "MY_DATASET_NAME";
    String resourceName = "MY_RESOURCE_NAME";
    // Role to remove from the access policy
    Role role = Role.of("roles/bigquery.dataViewer");
    // Identity to remove from the access policy
    Identity user = Identity.user("user-add@example.com");
    revokeAccessToTableOrView(projectId, datasetName, resourceName, role, user);
  }

  public static void revokeAccessToTableOrView(
      String projectId, String datasetName, String resourceName, Role role, Identity identity) {
    try {
      // Initialize client that will be used to send requests. This client only needs
      // to be created once, and can be reused for multiple requests.
      BigQuery bigquery = BigQueryOptions.getDefaultInstance().getService();

      // Create table identity given the projectId, the datasetName and the resourceName.
      TableId tableId = TableId.of(projectId, datasetName, resourceName);

      // Remove either identities or roles, or both from bindings and replace it in
      // the current IAM policy.
      Policy policy = bigquery.getIamPolicy(tableId);
      // Create a copy of an immutable map.
      Map<Role, Set<Identity>> bindings = new HashMap<>(policy.getBindings());

      // Remove all identities with a specific role.
      bindings.remove(role);
      // Update bindings.
      policy = policy.toBuilder().setBindings(bindings).build();

      // Remove one identity in all the existing roles.
      for (Role roleKey : bindings.keySet()) {
        if (bindings.get(roleKey).contains(identity)) {
          // Create a copy of an immutable set if the identity is present in the role.
          Set<Identity> identities = new HashSet<>(bindings.get(roleKey));
          // Remove identity.
          identities.remove(identity);
          bindings.put(roleKey, identities);
          if (bindings.get(roleKey).isEmpty()) {
            // Remove the role if it has no identities.
            bindings.remove(roleKey);
          }
        }
      }
      // Update bindings.
      policy = policy.toBuilder().setBindings(bindings).build();

      // Update the IAM policy by setting the new one.
      bigquery.setIamPolicy(tableId, policy);

      System.out.println("IAM policy of resource \"" + resourceName + "\" updated successfully");
    } catch (BigQueryException e) {
      System.out.println("IAM policy was not updated. \n" + e.toString());
    }
  }
}

Node.js

试用此示例之前，请按照 BigQuery 快速入门：使用客户端库中的 Node.js 设置说明进行操作。如需了解详情，请参阅 BigQuery Node.js API 参考文档。

如需向 BigQuery 进行身份验证，请设置应用默认凭证。如需了解详情，请参阅为客户端库设置身份验证。

使用 Table#getIamPolicy() 方法检索针对表或视图的当前 IAM 政策。修改政策以移除所需的角色或主账号，然后使用 Table#setIamPolicy() 方法应用更新后的政策。


/**
 * TODO(developer): Update and un-comment below lines
 */
// const projectId = "YOUR_PROJECT_ID"
// const datasetId = "YOUR_DATASET_ID"
// const tableId = "YOUR_TABLE_ID"
// const roleToRemove = "YOUR_ROLE"
// const principalToRemove = "YOUR_PRINCIPAL_ID"

const {BigQuery} = require('@google-cloud/bigquery');

// Instantiate a client.
const client = new BigQuery();

async function revokeAccessToTableOrView() {
  const dataset = client.dataset(datasetId);
  const table = dataset.table(tableId);

  // Get the IAM access policy for the table or view.
  const [policy] = await table.getIamPolicy();

  // Initialize bindings array.
  if (!policy.bindings) {
    policy.bindings = [];
  }

  // To revoke access to a table or view,
  // remove bindings from the Table or View policy.
  //
  // Find more details about Policy objects here:
  // https://cloud.google.com/security-command-center/docs/reference/rest/Shared.Types/Policy

  if (principalToRemove) {
    // Create a copy of bindings for modifications.
    const bindings = [...policy.bindings];

    // Filter out the principal from each binding.
    for (const binding of bindings) {
      if (binding.members) {
        binding.members = binding.members.filter(
          m => m !== principalToRemove
        );
      }
    }

    // Filter out bindings with empty members.
    policy.bindings = bindings.filter(
      binding => binding.members && binding.members.length > 0
    );
  }

  if (roleToRemove) {
    // Filter out all bindings with the roleToRemove
    // and assign a new list back to the policy bindings.
    policy.bindings = policy.bindings.filter(b => b.role !== roleToRemove);
  }

  // Set the IAM access policy with updated bindings.
  await table.setIamPolicy(policy);

  // Both role and principal are removed
  if (roleToRemove !== null && principalToRemove !== null) {
    console.log(
      `Role '${roleToRemove}' revoked for principal '${principalToRemove}' on resource '${datasetId}.${tableId}'.`
    );
  }

  // Only role is removed
  if (roleToRemove !== null && principalToRemove === null) {
    console.log(
      `Role '${roleToRemove}' revoked for all principals on resource '${datasetId}.${tableId}'.`
    );
  }

  // Only principal is removed
  if (roleToRemove === null && principalToRemove !== null) {
    console.log(
      `Access revoked for principal '${principalToRemove}' on resource '${datasetId}.${tableId}'.`
    );
  }

  // No changes were made
  if (roleToRemove === null && principalToRemove === null) {
    console.log(
      `No changes made to access policy for '${datasetId}.${tableId}'.`
    );
  }
}

使用例程的访问权限控制

如需就此功能提供反馈或请求支持，请发送电子邮件至 bq-govsec-eng@google.com。

您可以向 IAM 主账号授予预定义角色或自定义角色，以提供对例程的访问权限。所授予的角色决定了主账号可以对例程执行的操作。这也称为将允许政策附加到资源。授予访问权限后，您可以查看例程的访问权限控制，也可以撤消对例程的访问权限。

授予对例程的访问权限

如需实现精细的访问权限控制，您可以针对特定例程授予预定义或自定义 IAM 角色。该例程还会继承在数据集级层及更高级层指定的访问权限控制。例如，如果您向某个主账号授予数据集的 BigQuery Data Owner 角色，该主账号还拥有该数据集中例程的 Data Owner 权限。

从下列选项中选择一项：

控制台

前往 BigQuery 页面。

转到 BigQuery
在浏览器窗格中，展开您的项目、数据集和例程，然后选择一个例程。
点击共享。
点击 添加成员。
在新成员字段中，输入主账号。
在选择角色列表中，选择预定义角色或自定义角色。
点击保存。
如需返回到例程信息，请点击完成。

bq

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
要将现有例程信息（包括访问权限控制设置）写入 JSON 文件，请使用 bq get-iam-policy 命令：
```
bq get-iam-policy \
    PROJECT_ID:DATASET.ROUTINE \
    > PATH_TO_FILE
```
请替换以下内容：
- PROJECT_ID：您的项目 ID
- DATASET：要更新的例程所在数据集的名称
- ROUTINE：要更新的资源的名称
- PATH_TO_FILE：本地机器上 JSON 文件的路径
注意：设置政策时，始终应先检索当前政策，以获取 etag 的当前值。更新后的政策文件必须包含与您要替换的当前政策相同的 etag 值，否则更新将会失败。此功能可防止发生并发更新。

在政策文件中，version 的值仍为 1。此版本号指的是 IAM 政策架构版本，而不是政策版本。etag 值是政策版本号。
对 JSON 文件的 bindings 部分进行更改。绑定操作会将一个或多个主账号绑定到单个 role。主账号可以是用户账号、服务账号、Google 群组和网域。例如，例程 JSON 文件的 bindings 部分可能如下所示：
```
{
  "bindings": [
    {
      "role": "roles/bigquery.dataViewer",
      "members": [
        "user:user@example.com",
        "group:group@example.com",
        "domain:example.com",
      ]
    },
  ],
  "etag": "BwWWja0YfJA=",
  "version": 1
}
```
注意：不允许没有任何成员的空绑定，这样的空绑定将导致错误。
如需更新访问政策，请使用 bq set-iam-policy 命令：
```
bq set-iam-policy PROJECT_ID:DATASET.ROUTINE PATH_TO_FILE
```
如需验证您的访问权限控制是否发生了变化，请再次使用 bq get-iam-policy 命令，但不要将信息写入文件：
```
bq get-iam-policy --format=prettyjson \\
    PROJECT_ID:DATASET.ROUTINE
```

API

如需检索当前政策，请调用 routines.getIamPolicy 方法。
修改该政策以添加主账号和/或绑定。如需了解政策所需的格式，请参阅政策参考主题。

注意：设置政策之前，请始终检索当前政策，以获取 etag 的当前值。更新后的政策文件必须包含与您要替换的当前政策相同的 etag 值，否则更新将会失败。此功能可防止发生并发更新。

在政策文件中，version 的值仍为 1。此版本号指的是 IAM 政策架构版本，而不是政策版本。etag 值是政策版本号。
调用 routines.setIamPolicy 以写入更新后的政策。

授予对例程的访问权限的预定义角色

如需实现精细的访问权限控制，您可以针对特定例程授予预定义或自定义 IAM 角色。该例程还会继承在数据集级层及更高级层指定的访问权限控制。例如，如果您向某个主账号授予某个数据集的 Data Owner 角色，该主账号也会通过继承获得该数据集中例程的 Data Owner 权限。

以下预定义的 IAM 角色具有对例程的权限。

角色	说明
BigQuery Data Owner (`roles/bigquery.dataOwner`)	当授予给例程时，此角色会授予以下权限：相应例程的所有权限。您不应在例程级层授予Data Owner角色。Data Editor 还会授予例程的所有权限，但权限较少。注意：在数据集级层被授予Data Owner角色的主账号可以在数据集中创建例程和列出例程。
BigQuery Data Editor (`roles/bigquery.dataEditor`)	当授予给例程时，此角色会授予以下权限：相应例程的所有权限。注意：在数据集级层被授予 Data Editor 角色的主账号可以创建例程并列出数据集中的例程。
BigQuery Data Viewer (`roles/bigquery.dataViewer`)	当授予给例程时，此角色会授予以下权限：在查询中，引用他人创建的例程。注意：在数据集级层被授予 Data Viewer 角色的主账号也可以列出数据集中的例程。
BigQuery Metadata Viewer (`roles/bigquery.metadataViewer`)	当授予给例程时，此角色会授予以下权限：在查询中，引用他人创建的例程。注意：在数据集级别被授予 Metadata Viewer 角色的主账号也可以列出数据集中的例程。

例程的权限

以 bigquery.routines 开头的大多数权限都适用于例程级。 bigquery.routines.create 和 bigquery.routines.list 不适用于例程级。为了创建和列出例程，必须向父容器（即数据集）中的角色授予 bigquery.routines.create 和 bigquery.routines.list 权限。

下表列出了例程的所有权限以及可授予这些权限的最低级资源。

权限	资源	说明
`bigquery.routines.create`	数据集	在数据集中创建例程。如需运行包含 `CREATE FUNCTION` 语句的查询作业，此权限还需要 `bigquery.jobs.create`。
`bigquery.routines.delete`	例程	删除例程
`bigquery.routines.get`	例程	引用他人创建的例程。此权限还要求具有 `bigquery.jobs.create` 才能运行引用该例程的查询作业，并且您还需要有权访问该例程引用的任何资源（例如表或视图）。
`bigquery.routines.list`	数据集	列出数据集中的例程并显示例程的元数据。
`bigquery.routines.update`	例程	更新例程定义和元数据。
`bigquery.routines.getIamPolicy`	例程	获取例程的访问权限控制。
`bigquery.routines.setIamPolicy`	例程	为例程设置访问权限控制。

查看例程的访问权限控制

如需查看例程的访问权限控制，请选择以下选项之一：

控制台

前往 BigQuery 页面。

转到 BigQuery
在探索器窗格中，展开您的项目，展开数据集，展开例程，然后选择一个例程。
点击共享。

例程的访问权限控制会显示在共享窗格中。

bq

bq get-iam-policy 命令不支持查看例程的访问权限控制。

SQL

INFORMATION_SCHEMA.OBJECT_PRIVILEGES 视图不会显示例程的访问权限控制。

API

如需检索当前政策，请调用 routines.getIamPolicy 方法。

撤消对例程的访问权限

如需撤消对例程的访问权限，请选择以下选项之一：

控制台

前往 BigQuery 页面。

转到 BigQuery
在浏览器面板中，展开您的项目、数据集和例程，然后选择一个例程。
在详细信息面板中，点击共享 > 权限。
在例程权限对话框中，展开要撤消其访问权限的主账号。
点击 移除主账号。
在从主账号中移除角色？对话框中，点击移除。
点击关闭。

bq

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
要将现有例程信息（包括访问权限控制设置）写入 JSON 文件，请使用 bq get-iam-policy 命令：
```
bq get-iam-policy --routine PROJECT_ID:DATASET.ROUTINE > PATH_TO_FILE
```
请替换以下内容：
- PROJECT_ID：您的项目 ID
- DATASET：要更新的例程所在数据集的名称
- ROUTINE：要更新的资源的名称
- PATH_TO_FILE：本地机器上 JSON 文件的路径
注意：设置政策时，始终应先检索当前政策，以获取 etag 的当前值。更新后的政策文件必须包含与您要替换的当前政策相同的 etag 值，否则更新将会失败。此功能可防止发生并发更新。
在政策文件中，version 的值仍为 1。此编号指的是 IAM 政策架构版本，而不是政策版本。etag 值是政策版本号。
对 JSON 文件的 access 部分进行更改。您可以移除以下任何 specialGroup 条目：projectOwners、projectWriters、projectReaders 和 allAuthenticatedUsers。您还可以移除以下任何一项：userByEmail、groupByEmail 和 domain。

例如，例程 JSON 文件的 access 部分可能如下所示：
```
{
 "bindings": [
   {
     "role": "roles/bigquery.dataViewer",
     "members": [
       "user:user@example.com",
       "group:group@example.com",
       "domain:google.com",
     ]
   },
 ],
 "etag": "BwWWja0YfJA=",
 "version": 1
}
```
注意：不允许没有任何成员的空绑定，这样的空绑定将导致错误。

如需更新访问政策，请使用 bq set-iam-policy 命令：

bq set-iam-policy --routine PROJECT_ID:DATASET.ROUTINE PATH_TO_FILE

如需验证您的访问权限控制是否发生了变化，请再次使用 get-iam-policy 命令，但不要将信息写入文件：
```
bq get-iam-policy --routine --format=prettyjson PROJECT_ID:DATASET.ROUTINE
```

API

如需检索当前政策，请调用 routines.getIamPolicy 方法。
修改该政策以添加主账号和/或绑定。如需了解政策所需的格式，请参阅政策参考主题。

注意：设置政策时，始终应先检索当前政策，以获取 etag 的当前值。更新后的政策文件必须包含与您要替换的当前政策相同的 etag 值，否则更新将会失败。此功能可防止发生并发更新。

在政策文件中，version 的值仍为 1。此版本号指的是 IAM 政策架构版本，而不是政策版本。etag 值是政策版本号。

查看资源的继承访问权限控制

您可以使用 BigQuery 网页界面检查资源的继承 IAM 角色。您需要拥有适当的权限才能在控制台中查看继承情况。如需检查数据集、表、视图或例程的继承情况，请执行以下操作：

在 Google Cloud 控制台中，前往 BigQuery 页面。

转到 BigQuery
在浏览器窗格中，选择数据集，或展开数据集并选择表、视图或例程。
对于数据集，点击共享。对于表格、视图或例程，请点击共享。
验证在表格中显示继承的角色选项是否已启用。
展开表格中的角色。
在继承列中，六边形图标表示相应角色是否继承自父资源。

拒绝访问资源

通过 IAM 拒绝政策，您可以设置关于访问 BigQuery 资源的安全措施。您可以定义拒绝规则，以防止所选主账号使用特定权限（无论主账号被授予哪些角色）。

如需了解如何创建、更新和删除拒绝访问政策，请参阅拒绝访问资源。

特殊情况

在针对一些 BigQuery 权限创建 IAM 拒绝政策时，请考虑以下场景：

对授权资源（视图、例程、数据集或存储过程）的访问权限可让您创建、删除或操纵表，以及读取和修改表数据（即使您没有执行这些操作的直接权限）。它还可以获取模型数据或元数据，并针对底层表调用其他存储过程。此能力意味着授权资源具有以下权限：

bigquery.tables.get
bigquery.tables.list
bigquery.tables.getData
bigquery.tables.updateData
bigquery.tables.create
bigquery.tables.delete
bigquery.routines.get
bigquery.routines.list
bigquery.datasets.get
bigquery.models.getData
bigquery.models.getMetadata

如需拒绝访问这些授权资源，请在创建拒绝访问政策时将以下任一值添加到 deniedPrincipal 字段中：

值	使用场景
`principalSet://goog/public:all`	阻止所有主账号，包括授权资源。
`principalSet://bigquery.googleapis.com/projects/PROJECT_NUMBER/*`	阻止指定项目中的所有 BigQuery 授权资源。`PROJECT_NUMBER` 是系统为 `INT64` 类型的项目自动生成的唯一标识符。

如需将某些主账号从拒绝政策中排除，请在拒绝政策的 exceptionPrincipals 字段中指定这些主账号。例如 exceptionPrincipals: "principalSet://bigquery.googleapis.com/projects/1234/*"。
BigQuery 会将作业所有者的查询结果缓存 24 小时，作业所有者可以访问这些结果，而无需对包含数据的表拥有 bigquery.tables.getData 权限。因此，针对 bigquery.tables.getData 权限添加 IAM 拒绝政策不会阻止作业所有者访问缓存结果（除非缓存到期）。如需阻止作业所有者访问缓存结果，请针对 bigquery.jobs.create 权限创建单独的拒绝政策。
为防止在使用拒绝政策阻止数据读取操作时意外访问数据，我们建议您还要查看并撤消该数据集上的所有现有订阅。
如需创建用于查看数据集访问权限控制的 IAM 拒绝政策，请拒绝以下权限：
- bigquery.datasets.get
- bigquery.datasets.getIamPolicy
如需创建用于更新数据集访问权限控制的 IAM 拒绝政策，请拒绝以下权限：
- bigquery.datasets.update
- bigquery.datasets.setIamPolicy

后续步骤

了解如何使用 projects.testIamPermissions 方法测试用户对资源的访问权限。