Para configurar el acceso a las tablas y vistas, puedes otorgar una función de IAM a una entidad en los siguientes niveles, ordenados según el rango de recursos permitidos (de mayor a menor):
- un nivel alto en la jerarquía de recursos de Google Cloud, como el nivel de proyecto, organización o carpeta
- el nivel del conjunto de datos
- el nivel de tabla/vista
También puedes restringir el acceso a los datos dentro de las tablas mediante diferentes métodos:
- seguridad a nivel de la columna
- seguridad a nivel de la fila
El acceso con cualquier recurso protegido por IAM es aditivo. Por ejemplo, si una entidad no tiene acceso en un nivel alto, como un proyecto, podrías otorgar acceso a la entidad a nivel del conjunto de datos. Luego, la entidad tendrá acceso a las tablas y vistas del conjunto de datos. Del mismo modo, si la entidad no tiene acceso en el nivel alto o en el de conjunto de datos, puedes otorgar acceso a la entidad a nivel de tabla o de vista.
Si otorgas funciones de IAM en un nivel superior en la jerarquía de recursos de Google Cloud, como el nivel de proyecto, de carpeta o de organización, la entidad tiene acceso a un amplio conjunto de recursos. Por ejemplo, cuando se otorga una función a una entidad en el nivel de proyecto, se le brindan permisos que se aplican a todos los conjuntos de datos del proyecto.
Si se otorga una función a nivel de conjunto de datos, se especifican las operaciones que una entidad puede realizar en las tablas y vistas de ese conjunto de datos específico, incluso si la entidad no tiene acceso a un nivel superior. Para obtener información sobre la configuración de los controles de acceso a nivel de conjunto de datos, consulta Controla el acceso a los conjuntos de datos.
Cuando se otorga una función a nivel de tabla o vista, se especifican las operaciones que una entidad puede realizar en las tablas y vistas específicas, incluso si la entidad no tiene acceso a un nivel superior. Para obtener información sobre la configuración de los controles de acceso a nivel de tabla, consulta Controla el acceso a las tablas y vistas.
También puedes crear funciones de IAM personalizadas. Si creas una función personalizada, los permisos que otorgas dependerán de las operaciones específicas que deseas que la entidad pueda realizar.
No puedes establecer un permiso de denegación en ningún recurso protegido por IAM.
Para obtener más información acerca de las funciones y permisos, consulta lo siguiente:
- Descripción de las funciones en la documentación de IAM
- Funciones y permisos predefinidos de BigQuery
Para obtener más información sobre el control de acceso a recursos y datos, consulta lo siguiente:
- Controla el acceso a los conjuntos de datos
- Controla el acceso a tablas y vistas
- Restringir el acceso con seguridad a nivel de columnas
- Introducción a la seguridad a nivel de la fila
Próximos pasos
- Para obtener información sobre cómo crear vistas, consulta Crea vistas.
- Para obtener información sobre las vistas de listado, consulta Enumera vistas.
- Para conocer el método sobre cómo obtener metadatos de vistas, consulta Obtén información sobre las vistas.
- Para obtener más información sobre cómo actualizar vistas, consulta la página sobre cómo actualizar vistas.
- Para obtener más información sobre cómo administrar vistas, consulta Administra vistas.