BigQuery 安全性和存取權控管功能簡介

本文件將概述 BigQuery 使用 Identity and Access Management (IAM) 的存取權控管機制。IAM 能讓您對特定 BigQuery 資源授予精細的存取權，協助預防其他資源遭到存取；IAM 可協助您落實最低權限安全原則，也就是規定任何 IAM 主體都不得擁有超過實際需求的權限。

當 IAM 主體 (例如使用者、群組或服務帳戶) 呼叫 Trusted Cloud by S3NS API 時，該主體必須具備使用資源所需的最低 IAM 權限。如要將必要權限授予主體，請將 IAM 角色授予該主體。

本文件說明如何使用預先定義和自訂 IAM 角色，讓授權對象存取 BigQuery 資源。

如要熟悉 Trusted Cloud by S3NS中的存取權管理方式，請參閱 IAM 總覽。

IAM 角色類型

角色是一組可授予 IAM 授權對象的權限。您可以在 IAM 中使用下列類型的角色，授予 BigQuery 資源的存取權：

• 預先定義角色由 Trusted Cloud 管理，可支援常見的用途和存取權控管模式。
• 自訂角色：根據使用者指定的權限清單，提供存取權限。如要進一步瞭解如何建立自訂角色，請參閱 IAM 說明文件中的「建立及管理自訂角色」一文。

如要判斷某個或某幾個權限是否包含在預先定義的 IAM 角色中，請利用下列其中一種方式：

• BigQuery IAM 角色和權限參考
• IAM 角色和權限索引
• gcloud iam roles describe 指令
• IAM API 中的 roles.get() 方法

BigQuery 中的身分與存取權管理角色

權限不會直接指派給使用者、群組或服務帳戶。相反地，使用者、群組或服務帳戶會獲得一或多個預先定義或自訂角色，授予他們對資源執行動作的權限。您會在特定資源上授予這些角色，但這些角色也會套用至資源階層中該資源的所有子系。

當您同時將多種角色類型指派給使用者時，您授予的權限就是各個角色權限的聯集。

您可以授予下列 BigQuery 資源的存取權：

• 資料集和資料集內的這些資源：
  • 資料表和檢視表
  • 處理常式
• 連線
• 已儲存的查詢
• 資料面板
• 資料準備
• pipeline
• 存放區

授予 Resource Manager 資源的存取權

您可以透過 Resource Manager 設定 BigQuery 資源的存取權，方法是將 BigQuery 角色授予實體，然後在機構、資料夾或專案中授予該角色。

將角色指派給機構和專案等 Resource Manager 資源時，您會授予「所有」機構或專案中 BigQuery 資源的權限。

如要進一步瞭解如何使用 IAM 管理 Resource Manager 資源的存取權，請參閱 IAM 說明文件中的管理專案、資料夾和機構存取權。

授予資料集存取權

您可以在資料集層級指派角色，以便提供特定資料集的存取權，而不提供專案其他資源的完整存取權。在 IAM 資源階層中，BigQuery 資料集是專案的子項資源。如要進一步瞭解如何在資料集層級指派角色，請參閱「使用 IAM 控管資源存取權」。

授予資料集內個別資源的存取權

您可以授予角色對資料集內特定類型資源的存取權，而不必提供資料集資源的完整存取權。

您可以將角色套用至資料集內的下列資源：

• 資料表和檢視表
• 處理常式

如要進一步瞭解如何在資料表、檢視畫面或例行程序層級指派角色，請參閱「使用 IAM 控管資源存取權」。

後續步驟

• 如要進一步瞭解如何為 BigQuery 資源指派角色，請參閱「使用身分與存取權管理功能控管資源存取權」。
• 如要查看 BigQuery 預先定義的 IAM 角色和權限清單，請參閱「BigQuery IAM 角色和權限」。