BigQuery 安全性和存取權控管簡介

本文將概述如何使用 Identity and Access Management (IAM) 控管 BigQuery 的存取權。IAM 可讓您對特定 BigQuery 資源授予精細的存取權，協助預防其他資源遭到存取；IAM 可協助您套用最低權限安全原則，確保IAM 主體只擁有實際需要的權限。

當使用者、群組或服務帳戶等 IAM 主體呼叫 Trusted Cloud by S3NS API 時，該主體必須具備使用資源所需的最低 IAM 權限。如要授予主體必要權限，請將 IAM 角色授予主體。

本文說明如何使用預先定義和自訂 IAM 角色，允許主體存取 BigQuery 資源。

如要瞭解如何管理 Trusted Cloud by S3NS中的存取權，請參閱 IAM 總覽。

IAM 角色類型

角色是一組權限，可授予 IAM 主體。您可以在 IAM 中使用下列類型的角色，授予 BigQuery 資源的存取權：

如要判斷某個或某幾個權限是否包含在預先定義的 IAM 角色中，請利用下列其中一種方式：

權限不會直接指派給使用者、群組或服務帳戶。而是授予使用者、群組或服務帳戶一或多個預先定義或自訂角色，讓他們有權對資源執行動作。您可以在特定資源上授予這些角色，但這些角色也會套用至資源階層中該資源的所有子系。

當您將多個角色類型指派給使用者時，授予的權限就是各角色權限的聯集。

您可以授予下列 BigQuery 資源的存取權：

您可以透過 Resource Manager 授予主體 BigQuery 角色，然後在機構、資料夾或專案中授予該角色，藉此設定 BigQuery 資源的存取權。

如果您將角色授予機構和專案等 Resource Manager 資源，您將授予機構或專案中「所有」 BigQuery 資源的權限。

如要進一步瞭解如何使用 IAM 管理 Resource Manager 資源的存取權，請參閱 IAM 說明文件中的管理專案、資料夾和機構的存取權。

您可以在資料集層級指派角色，以便提供特定資料集的存取權，而不必提供專案其他資源的完整存取權。在 IAM 資源階層中，BigQuery 資料集是專案的子資源。如要進一步瞭解如何在資料集層級指派角色，請參閱「使用 IAM 控管資源存取權」。

您可以授予角色資料集內特定類型資源的存取權，不必提供資料集資源的完整存取權。

角色可套用至資料集中的下列資源：

如要進一步瞭解如何在資料表、檢視區塊或常式層級指派角色，請參閱「使用 IAM 控管資源存取權」。