Diese Seite wurde von der Cloud Translation API übersetzt.

Zugriff auf einzelne Tabellen mit IAM steuern

In diesem Dokument erfahren Sie, wie Sie BigQuery-IAM-Rollen (Identity and Access Management) für einzelne Dataform-Tabellen und -Ansichten gewähren und widerrufen.

Dataform und BigQuery verwenden IAM für die Zugriffssteuerung. Weitere Informationen zu Dataform-Rollen und -Berechtigungen in IAM finden Sie unter Zugriff mit IAM steuern.

Wenn Dataform eine Tabelle oder Ansicht ausführt, wird die Ressource in BigQuery erstellt. Während der Entwicklung in Dataform können Sie einzelnen Tabellen und Ansichten BigQuery-Rollen zuweisen, um den Zugriff in BigQuery nach der Ausführung zu steuern.

Weitere Informationen zum Gewähren und Entziehen von Zugriff auf Ressourcen finden Sie unter Zugriff auf eine Ressource gewähren.

Hinweise

Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

BigQuery and Dataform APIs aktivieren.

Aktivieren Sie die APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

BigQuery and Dataform APIs aktivieren.

Aktivieren Sie die APIs

BigQuery-Rollen für eine Tabelle oder Ansicht gewähren

Sie können einer Tabelle oder Ansicht in Dataform BigQuery-Rollen zuweisen. Dazu fügen Sie der Definitionsdatei .sqlx der ausgewählten Tabelle oder Ansicht einen post_operations-Block mit der DCL-Anweisung GRANT hinzu.

So weisen Sie einer ausgewählten Tabelle oder Ansicht BigQuery-Rollen zu:

Öffnen Sie in der Google Cloud Console die Seite Dataform.

Zur Seite „Dataform“
Wählen Sie ein Repository und dann einen Arbeitsbereich aus.
Erweitern Sie im Bereich Dateien das Verzeichnis definitions/.
Wählen Sie die Definitionsdatei .sqlx der Tabelle oder Ansicht aus, auf die Sie Zugriff gewähren möchten.
Geben Sie in die Datei das folgende Code-Snippet ein:
```
post_operations {
    GRANT "ROLE_LIST"
    ON "RESOURCE_TYPE" ${self()}
    TO "USER_LIST"
}
```
Ersetzen Sie Folgendes:
- ROLE_LIST: die BigQuery-Rolle oder die Liste der durch Kommas getrennten BigQuery-Rollen, die Sie gewähren möchten.
- RESOURCE_TYPE: TABLE oder VIEW.
- USER_LIST: die durch Kommas getrennte Liste der Nutzer, denen die Rolle gewährt wurde.
  
  Eine Liste der gültigen Formate finden Sie unter user_list.
Optional: Klicken Sie auf Format.
Führen Sie die Tabelle oder Ansicht aus.
Wenn Sie einer inkrementellen Tabelle Zugriff gewährt haben, entfernen Sie nach der ersten Ausführung die Anweisung GRANT aus der Tabellendefinitionsdatei.

Das folgende Codebeispiel zeigt, wie einem Nutzer die Rolle BigQuery-Betrachter für eine Tabelle zugewiesen wird:

config { type: "table" }

SELECT ...

post_operations {
  GRANT `roles/bigquery.dataViewer`
  ON TABLE ${self()}
  TO "user:222larabrown@gmail.com"
}

BigQuery-Rollen für eine Tabelle oder Ansicht widerrufen

Sie können BigQuery-Rollen einer Tabelle oder Ansicht widerrufen. Dazu fügen Sie der Definitionsdatei .sqlx der ausgewählten Tabelle oder Ansicht einen post_operations-Block mit der DCL-Anweisung REVOKE hinzu.

So widerrufen Sie BigQuery-Rollen für eine ausgewählte Tabelle oder Ansicht:

Öffnen Sie in der Google Cloud Console die Seite Dataform.

Zur Seite „Dataform“
Wählen Sie ein Repository und dann einen Arbeitsbereich aus.
Erweitern Sie im Bereich Dateien das Verzeichnis definitions/.
Wählen Sie die Definitionsdatei .sqlx der Tabelle oder Ansicht aus, für die Sie den Zugriff widerrufen möchten.
Geben Sie im Block post_operations die folgende REVOKE-Anweisung ein:
```
    REVOKE "ROLE_LIST"
    ON "RESOURCE_TYPE" ${self()}
    TO "USER_LIST"
```
Ersetzen Sie Folgendes:
- ROLE_LIST: die BigQuery-Rolle oder die Liste der durch Kommas getrennten BigQuery-Rollen, die Sie widerrufen möchten.
- RESOURCE_TYPE: TABLE oder VIEW.
- USER_LIST: die durch Kommas getrennte Liste der Nutzer, denen die Rolle entzogen wurde. Eine Liste der gültigen Formate finden Sie unter user_list.
Wenn Sie den in einer GRANT-Anweisung in der Datei gewährten Zugriff widerrufen möchten, ersetzen Sie die GRANT-Anweisung durch eine REVOKE-Anweisung.
```
Removing the `GRANT` statement without adding the `REVOKE` statement
does not revoke access.
```
Optional: Klicken Sie auf Format.
Führen Sie die Tabelle oder Ansicht aus.
Wenn Sie den Zugriff auf eine inkrementelle Tabelle widerrufen haben, entfernen Sie nach der ersten Ausführung die Anweisung REVOKE aus der Tabellendefinitionsdatei.

Das folgende Codebeispiel zeigt, wie einem Nutzer für eine Tabelle die Rolle BigQuery-Betrachter entzogen wurde:

config { type: "table" }

SELECT ...

post_operations {
  REVOKE `roles/bigquery.dataViewer`
  ON TABLE ${self()}
  FROM "user:222larabrown@gmail.com"
}

BigQuery-Rollen für Tabellen und Ansichten gemeinsam verwalten

Wenn Sie den BigQuery-Zugriff auf einzelne Tabellen und Ansichten an einem einzigen Speicherort steuern möchten, können Sie eine dedizierte type: "operations"-Datei mit DCL-Anweisungen GRANT und REVOKE erstellen.

So verwalten Sie den Zugriff auf BigQuery-Tabelle in einer einzelnen type: "operations"-Datei:

Öffnen Sie in der Google Cloud Console die Seite Dataform.

Zur Seite „Dataform“
Wählen Sie ein Repository und dann einen Arbeitsbereich aus.
Klicken Sie im Bereich Dateien neben definitions/ auf das -Menü Mehr.
Klicken Sie auf Datei erstellen.
Geben Sie im Feld Add a file path (Dateipfad hinzufügen) den Namen der Datei gefolgt von .sqlx nach definitions/ ein. Beispiel: definitions/table-access.sqlx

Dateinamen dürfen nur Ziffern, Buchstaben, Bindestriche und Unterstriche enthalten.
Klicken Sie auf Datei erstellen.
Maximieren Sie im Bereich Files (Dateien) das Verzeichnis definitions/ und wählen Sie die neu erstellte Datei aus.
Geben Sie in die Datei das folgende Code-Snippet ein:
```
  config { type: "operations" }

  GRANT "ROLE_LIST"
  ON RESOURCE_TYPE RESOURCE_NAME
  TO "USER_LIST"

  REVOKE "ROLE_LIST"
  ON { "<var>" }}RESOURCE_TYPE RESOURCE_NAME
  TO "USER_LIST"
```
Ersetzen Sie Folgendes:
- ROLE_LIST: die BigQuery-Rolle oder die Liste der durch Kommas getrennten BigQuery-Rollen, die Sie gewähren oder widerrufen möchten.
- RESOURCE_TYPE: TABLE oder VIEW.
- RESOURCE_NAME: der Name der Tabelle oder Ansicht.
- USER_LIST: die durch Kommas getrennte Liste der Nutzer, denen die Rolle gewährt oder für die sie widerrufen wurde. Eine Liste der gültigen Formate finden Sie unter user_list.
Fügen Sie nach Bedarf GRANT- und REVOKE-Anweisungen hinzu.
1. Wenn Sie den in einer GRANT-Anweisung in der Datei gewährten Zugriff widerrufen möchten, ersetzen Sie die GRANT-Anweisung durch eine REVOKE-Anweisung.
  
  Der Zugriff wird nicht widerrufen, wenn die Anweisung GRANT ohne Hinzufügen der Anweisung REVOKE entfernt wird.
Optional: Klicken Sie auf Format.
Führen Sie die Datei nach jedem Update aus.
1. Wenn Sie Zugriff auf eine inkrementelle Tabelle gewährt oder widerrufen haben, entfernen Sie nach der ersten Ausführung der Anweisung die Anweisung GRANT oder REVOKE aus der Datei.

Nächste Schritte

Weitere Informationen zu IAM finden Sie in der IAM-Übersicht.
Weitere Informationen zu Rollen und Berechtigungen finden Sie unter Informationen zu Rollen.
Weitere Informationen zum Verwalten des Zugriffs auf Ressourcen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.