Pengantar keamanan dan kontrol akses di BigQuery

Dokumen ini memberikan ringkasan kontrol akses di BigQuery menggunakan Identity and Access Management (IAM). Dengan IAM, Anda dapat memberikan akses terperinci ke resource BigQuery tertentu dan membantu mencegah akses ke resource lain. IAM membantu Anda menerapkan prinsip keamanan dengan hak istimewa terendah, yang menyatakan bahwa tidak ada akun utama IAM yang boleh memiliki izin lebih dari yang sebenarnya dibutuhkan.

Saat akun utama IAM seperti pengguna, grup, atau akun layanan memanggil Trusted Cloud by S3NS API, akun utama tersebut harus memiliki izin IAM minimum yang diperlukan untuk menggunakan resource. Untuk memberikan izin yang diperlukan kepada akun utama, Anda memberikan peran IAM kepada akun utama.

Dokumen ini menjelaskan cara menggunakan peran IAM standar dan kustom untuk mengizinkan akun utama mengakses resource BigQuery.

Untuk mempelajari cara akses dikelola di Trusted Cloud by S3NS, lihat Ringkasan IAM.

Jenis peran IAM

Peran adalah kumpulan izin yang dapat diberikan kepada akun utama IAM. Anda dapat menggunakan jenis peran berikut di IAM untuk memberikan akses ke resource BigQuery:

  • Peran bawaan dikelola oleh Trusted Cloud dan mendukung kasus penggunaan umum dan pola kontrol akses.
  • Peran khusus memberikan akses sesuai dengan daftar izin yang ditentukan pengguna. Untuk mengetahui informasi tentang cara membuat peran khusus, lihat Membuat dan mengelola peran khusus dalam dokumentasi IAM.

Untuk menentukan apakah satu atau beberapa izin disertakan dalam peran IAM bawaan, Anda dapat menggunakan salah satu metode berikut:

Peran IAM di BigQuery

Izin tidak ditetapkan langsung ke akun pengguna, grup, atau layanan. Sebaliknya, pengguna, grup, atau akun layanan diberi satu atau beberapa peran bawaan atau peran khusus yang memberi mereka izin untuk melakukan tindakan pada resource. Anda memberikan peran ini pada resource tertentu, tetapi peran ini juga berlaku untuk semua turunan resource tersebut dalam hierarki resource.

Saat Anda menetapkan beberapa jenis peran kepada pengguna, izin yang diberikan merupakan gabungan dari izin setiap peran.

Anda dapat memberikan akses ke resource BigQuery berikut:

  • Set data dan resource ini dalam set data:
    • Tabel dan tampilan
    • Rutinitas
  • Koneksi
  • Kueri tersimpan
  • Kanvas data
  • Persiapan data
  • Pipeline
  • Repositori

Memberikan akses ke resource Resource Manager

Anda dapat mengonfigurasi akses ke resource BigQuery melalui Resource Manager dengan memberikan peran BigQuery kepada pokok dan kemudian dengan memberikan peran tersebut pada organisasi, folder, atau project.

Saat memberikan peran ke resource Resource Manager seperti organisasi dan project, Anda memberikan izin pada semua resource BigQuery dalam organisasi atau project.

Untuk mengetahui informasi tambahan tentang penggunaan IAM untuk mengelola akses ke resource Resource Manager, lihat Mengelola akses ke project, folder, dan organisasi dalam dokumentasi IAM.

Memberikan akses ke set data

Anda dapat menetapkan peran pada level set data untuk memberikan akses ke set data tertentu, tanpa memberikan akses lengkap ke resource project lainnya. Dalam hierarki resource IAM, set data BigQuery adalah resource turunan dari project. Untuk mengetahui informasi selengkapnya tentang cara menetapkan peran pada level set data, lihat Mengontrol akses ke resource dengan IAM.

Memberikan akses ke setiap resource dalam set data

Anda dapat memberikan akses peran ke jenis resource tertentu dalam set data, tanpa memberikan akses lengkap ke resource set data.

Peran dapat diterapkan ke resource berikut dalam set data:

  • Tabel dan tampilan
  • Rutinitas

Untuk mengetahui informasi selengkapnya tentang cara menetapkan peran pada level tabel, tabel virtual, atau rutin, lihat Mengontrol akses ke resource dengan IAM.

Langkah berikutnya