Introducción a la seguridad y los controles de acceso en BigQuery

En este documento, se proporciona una descripción general de los controles de acceso en BigQuery con Identity and Access Management (IAM). IAM te permite otorgar acceso detallado a recursos específicos de BigQuery y ayuda a evitar el acceso a otros recursos. IAM te ayuda a aplicar el principio de seguridad de privilegio mínimo, que indica que ninguna principal de IAM debe tener más permisos de los que realmente necesita.

Cuando una principal de IAM, como un usuario, un grupo o una cuenta de servicio, llama a una API de Trusted Cloud by S3NS , esa principal debe tener los permisos de IAM mínimos necesarios para usar el recurso. Para otorgar los permisos necesarios a una principal, debes otorgarle un rol de IAM.

En este documento, se describe cómo se pueden usar los roles predefinidos y personalizados de IAM para permitir que las principales accedan a los recursos de BigQuery.

Para familiarizarte con la forma en que se administra el acceso en Trusted Cloud by S3NS, consulta la descripción general de IAM.

Tipos de roles de IAM

Un rol es un conjunto de permisos que se pueden otorgar a un principal de IAM. Puedes usar los siguientes tipos de roles en IAM para otorgar acceso a los recursos de BigQuery:

Para determinar si se incluyen uno o más permisos en un rol de IAM predefinido, puedes usar uno de los siguientes métodos:

Roles de IAM en BigQuery

Los permisos no se asignan directamente a los usuarios, grupos o cuentas de servicio. En cambio, a los usuarios, grupos o cuentas de servicio se les otorga uno o más roles predefinidos o personalizados que les otorgan permisos para realizar acciones en los recursos. Otorgas estos roles en un recurso en particular, pero también se aplican a todos los descendientes de ese recurso en la jerarquía de recursos.

Cuando asignas varios tipos de roles a un usuario, los permisos otorgados son una unión de los permisos de cada rol.

Puedes otorgar acceso a los siguientes recursos de BigQuery:

  • Conjuntos de datos y estos recursos dentro de los conjuntos de datos:
    • Tablas y vistas
    • Rutinas
  • Conexiones
  • Consultas guardadas
  • Lienzos de datos
  • Preparaciones de datos
  • Canalizaciones
  • Repositorios

Otorga acceso a los recursos de Resource Manager

Puedes configurar el acceso a los recursos de BigQuery a través de Resource Manager. Para ello, otorga un rol de BigQuery a una principal y, luego, otorga ese rol en una organización, una carpeta o un proyecto.

Cuando otorgas roles a los recursos de Resource Manager, como organizaciones y proyectos, otorgas permisos para todos los recursos de BigQuery de la organización o el proyecto.

Si deseas obtener información adicional para usar IAM y administrar el acceso a los recursos de Resource Manager, consulta Administra el acceso a proyectos, carpetas y organizaciones en la documentación de IAM.

Otorga acceso a los conjuntos de datos

Puedes asignar roles a nivel del conjunto de datos para proporcionar acceso a un conjunto de datos específico, sin proporcionar acceso completo a los demás recursos del proyecto. En la jerarquía de recursos de IAM, los conjuntos de datos de BigQuery son recursos secundarios de los proyectos. Para obtener más información sobre la asignación de roles a nivel del conjunto de datos, consulta Controla el acceso a los recursos con IAM.

Otorga acceso a recursos individuales dentro de conjuntos de datos

Puedes otorgar acceso a roles a ciertos tipos de recursos dentro de conjuntos de datos, sin proporcionar acceso completo a los recursos del conjunto de datos.

Las funciones se pueden aplicar a los siguientes recursos dentro de los conjuntos de datos:

  • Tablas y vistas
  • Rutinas

Para obtener más información sobre cómo asignar roles a nivel de tabla, vista o rutina, consulta Controla el acceso a los recursos con IAM.

¿Qué sigue?