Introdução à segurança e aos controles de acesso no BigQuery

Este documento apresenta uma visão geral dos controles de acesso no BigQuery usando o Identity and Access Management (IAM). O IAM permite conceder acesso granular a recursos específicos do BigQuery e ajuda a impedir o acesso a outros recursos. O IAM ajuda a aplicar o princípio de segurança de privilégio mínimo, que indica que nenhum principal do IAM precisa ter mais permissões do que o realmente necessário.

Quando um principal do IAM, como um usuário, grupo ou conta de serviço, chama uma API Trusted Cloud by S3NS , ele precisa ter as permissões mínimas do IAM necessárias para usar o recurso. Para conceder as permissões necessárias a um principal, atribua um papel do IAM a ele.

Neste documento, descrevemos como usar papéis predefinidos e personalizados do IAM para permitir que os principais acessem recursos do BigQuery.

Para saber como o acesso é gerenciado no Trusted Cloud by S3NS, consulte a visão geral do IAM.

Tipos de papéis do IAM

Um papel é um conjunto de permissões que podem ser concedidas a um principal do IAM. É possível usar os seguintes tipos de papéis no IAM para conceder acesso a recursos do BigQuery:

Para determinar se uma ou mais permissões estão incluídas em um papel predefinido do IAM, use um dos seguintes métodos:

Papéis do IAM no BigQuery

As permissões não são atribuídas diretamente a usuários, grupos ou contas de serviço. Em vez disso, usuários, grupos ou contas de serviço recebem um ou mais papéis predefinidos ou personalizados que concedem permissões para realizar ações em recursos. Você concede esses papéis em um recurso específico, mas eles também se aplicam a todos os descendentes desse recurso na hierarquia de recursos.

Quando você atribui vários tipos de papel a um usuário, as permissões concedidas são uma combinação das permissões de cada papel.

É possível conceder acesso aos seguintes recursos do BigQuery:

  • Conjuntos de dados e estes recursos dentro deles:
    • Tabelas e visualizações
    • Rotinas
  • Conexões
  • Consultas salvas
  • Telas de dados
  • Preparações de dados
  • Pipelines
  • Repositórios

Conceder acesso aos recursos do Resource Manager

É possível configurar o acesso aos recursos do BigQuery pelo Resource Manager concedendo um papel do BigQuery a um principal e depois concedendo esse papel em uma organização, uma pasta ou um projeto.

Ao conceder papéis a recursos do Resource Manager, como organizações e projetos, você concede permissões a todos os recursos do BigQuery na organização ou no projeto.

Para mais informações sobre como usar o IAM para gerenciar o acesso a recursos do Resource Manager, consulte Gerenciar o acesso a projetos, pastas e organizações na documentação do IAM.

Conceder acesso a conjuntos de dados

É possível atribuir papéis no nível do conjunto de dados para fornecer acesso a um conjunto de dados específico, sem dar acesso total aos outros recursos do projeto. Na hierarquia de recursos do IAM, os conjuntos de dados do BigQuery são recursos filhos de projetos. Para mais informações sobre como atribuir papéis no nível do conjunto de dados, consulte Controlar o acesso a recursos com o IAM.

Conceder acesso a recursos individuais em conjuntos de dados

É possível conceder acesso a determinados tipos de recursos dentro de conjuntos de dados, sem fornecer acesso total aos recursos do conjunto de dados.

Os papéis podem ser aplicados aos seguintes recursos em conjuntos de dados:

  • Tabelas e visualizações
  • Rotinas

Para mais informações sobre como atribuir papéis no nível da tabela, da visualização ou da rotina, consulte Controlar o acesso a recursos com o IAM.

A seguir