Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Cloud de Confiance von S3NS. Weitere Informationen finden Sie unter Unterschiede zu Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Autorisierte Routinen

Mit autorisierten Routinen können Sie Abfrageergebnisse für bestimmte Nutzer oder Gruppen freigeben, ohne ihnen Zugriff auf die zugrunde liegenden Tabellen zu gewähren, mit denen die Ergebnisse generiert wurden. Beispielsweise kann eine autorisierte Routine eine Aggregation von Daten berechnen oder einen Tabellenwert abrufen und diesen Wert in einer Berechnung verwenden.

Wenn ein Nutzer eine Routine aufruft, muss der Nutzer standardmäßig Zugriff auf die Daten in der Tabelle haben. Alternativ können Sie die Routine autorisieren, um auf das Dataset zuzugreifen, das die referenzierte Tabelle enthält. Eine autorisierte Routine kann die Tabellen im Dataset abfragen, auch wenn der Nutzer, der die Routine aufruft, diese Tabellen nicht direkt abfragen kann.

Die folgenden Arten von Routinen können autorisiert werden:

Routinen autorisieren

Zum Autorisieren einer Routine können Sie die Cloud de Confiance Console, das bq-Befehlszeilentool oder die REST API verwenden:

Console

Gehen Sie in der Cloud de Confiance Console zur Seite „BigQuery“.

BigQuery aufrufen
Klicken Sie im linken Bereich auf Explorer:

Wenn der linke Bereich nicht angezeigt wird, klicken Sie auf Linken Bereich maximieren , um ihn zu öffnen.
Maximieren Sie im Bereich Explorer Ihr Projekt, klicken Sie auf Datasets und wählen Sie dann ein Dataset aus.
Klicken Sie im Detailbereich auf Freigeben > Routinen autorisieren.
Wählen Sie auf der Seite Autorisierte Routinen im Abschnitt Routine autorisieren die Option Projekt, Dataset und Routine für die Routine aus, die Sie autorisieren möchten.
Klicken Sie auf Autorisierung hinzufügen.

bq

Verwenden Sie den Befehl bq show, um die JSON-Darstellung des Datasets abzurufen, auf das die Routine zugreifen soll. Die Ausgabe des Befehls ist eine JSON-Darstellung der Ressource Dataset. Speichern Sie das Ergebnis in einer lokalen Datei.
```
bq show --format=prettyjson TARGET_DATASET > dataset.json
```
Ersetzen Sie TARGET_DATASET durch den Namen des Datasets, auf das die Routine zugreifen kann.
Bearbeiten Sie die Datei, um dem Array access in der Ressource Dataset das folgende JSON-Objekt hinzuzufügen:
```
{
 "routine": {
   "datasetId": "DATASET_NAME",
   "projectId": "PROJECT_ID",
   "routineId": "ROUTINE_NAME"
 }
}
```
Ersetzen Sie Folgendes:
- DATASET_NAME: Der Name des Datasets, das die Routine enthält
- PROJECT_ID: Die Projekt-ID des Projekts, das die Routine enthält
- ROUTINE_NAME: Der Name der Routine
Optional: Wenn Sie eine gespeicherte Prozedur autorisieren, fügen Sie eine IAM-Rolle an. Diese Rolle beschränkt den Zugriff auf die autorisierte Prozedur basierend auf ihren Berechtigungen. Fügen Sie dazu, fügen Sie "role" dem JSON-Objekt hinzu:
```
{
 "role": "ROLE_NAME",
 "routine": {
   "datasetId": "DATASET_NAME",
   "projectId": "PROJECT_ID",
   "routineId": "ROUTINE_NAME"
 }
}
```
Ersetzen Sie ROLE_NAME durch den Namen der Rolle, die Sie anhängen möchten. Sie können die folgenden Rollen an eine gespeicherte Prozedur anhängen:
- BigQuery-Metadatenbetrachter für Routinen (roles/bigquery.routineMetadataViewer)
- BigQuery-Datenbetrachter für Routinen (roles/bigquery.routineDataViewer)
- BigQuery-Datenbearbeiter für Routinen (roles/bigquery.routineDataEditor)
- BigQuery-Administrator für Routinen (roles/bigquery.routineAdmin)
Hinweis: Sie können diese Rollen nur an gespeicherte Prozeduren anhängen. Andere Arten von Routinen unterstützen keine Rollen.
Verwenden Sie den Befehl bq update, um das Dataset zu aktualisieren:
```
bq update --source dataset.json TARGET_DATASET
```

API

Rufen Sie die Methode datasets.get auf, um das Dataset abzurufen, auf das die Routine zugreifen soll. Der Antworttext enthält eine Darstellung der Dataset-Ressource.
Fügen Sie dem Array access in der Ressource Dataset das folgende JSON-Objekt hinzu:
```
{
 "routine": {
   "datasetId": "DATASET_NAME",
   "projectId": "PROJECT_ID",
   "routineId": "ROUTINE_NAME"
 }
}
```
Ersetzen Sie Folgendes:
- DATASET_NAME: Der Name des Datasets, das die UDF enthält
- PROJECT_ID: Die Projekt-ID des Projekts, das die UDF enthält
- ROUTINE_NAME: Der Name der Routine
Optional: Wenn Sie eine gespeicherte Prozedur autorisieren, fügen Sie eine IAM-Rolle an. Diese Rolle beschränkt den Zugriff auf die autorisierte Prozedur basierend auf ihren Berechtigungen. Fügen Sie dazu "role" dem JSON Objekt hinzu:
```
{
 "role": "ROLE_NAME",
 "routine": {
   "datasetId": "DATASET_NAME",
   "projectId": "PROJECT_ID",
   "routineId": "ROUTINE_NAME"
 }
}
```
Ersetzen Sie ROLE_NAME durch den Namen der Rolle, die Sie anhängen möchten. Sie können die folgenden Rollen an eine gespeicherte Prozedur anhängen:
- BigQuery-Metadatenbetrachter für Routinen (roles/bigquery.routineMetadataViewer)
- BigQuery-Datenbetrachter für Routinen (roles/bigquery.routineDataViewer)
- BigQuery-Datenbearbeiter für Routinen (roles/bigquery.routineDataEditor)
- BigQuery-Administrator für Routinen (roles/bigquery.routineAdmin)
Hinweis: Sie können diese Rollen nur an gespeicherte Prozeduren anhängen. Andere Arten von Routinen unterstützen keine Rollen.
Rufen Sie die dataset.update Methode mit der geänderten Dataset Darstellung auf.

Kontingente und Limits

Autorisierte Routinen unterliegen den Dataset-Limits. Weitere Informationen finden Sie unter Dataset-Limits.

Wenn Sie eine Routine aktualisieren, läuft die Autorisierung der vorhandenen autorisierten Routinen ab. BigQuery entfernt veraltete Autorisierungseinträge für autorisierte Routinen innerhalb von 24 Stunden automatisch. Wenn Sie die Einträge sofort aktualisieren möchten, müssen Sie den Eintrag manuell aus der Liste „Aktuell autorisierte Routinen“ löschen, bevor Sie ihn noch einmal autorisieren.

Beschränkungen

Sie können keine autorisierte Routine in einem sekundären Replikat erstellen. Weitere Informationen finden Sie unter Ressourcenverhalten bei der Dataset Replikation.

Beispiel für eine autorisierte Routine

Im Folgenden finden Sie ein End-to-End-Beispiel für das Erstellen und Verwenden einer autorisierten UDF.

Erstellen Sie zwei Datasets mit den Namen private_dataset und public_dataset. Weitere Informationen zu Dataset erstellen.

Führen Sie die folgende Anweisung aus, um eine Tabelle mit dem Namen private_table in private_dataset zu erstellen:

CREATE OR REPLACE TABLE private_dataset.private_table
AS SELECT key FROM UNNEST(['key1', 'key1','key2','key3']) key;

Führen Sie die folgende Anweisung aus, um eine UDF mit dem Namen count_key in public_dataset zu erstellen. Die UDF enthält eine SELECT-Anweisung für private_table.

CREATE OR REPLACE FUNCTION public_dataset.count_key(input_key STRING)
RETURNS INT64
AS
((SELECT COUNT(1) FROM private_dataset.private_table t WHERE t.key = input_key));

Weisen Sie einem Nutzer des Datasets public_dataset die Rolle bigquery.dataViewer zu. Diese Rolle enthält die Berechtigung bigquery.routines.get, mit der der Nutzer die Routine aufrufen kann. Weitere Informationen zum Zuweisen von Zugriffssteuerungen für Datasets finden Sie unter Zugriff auf Datasets steuern.

Hinweis: Sie sollten statt einer integrierten Rolle eine benutzerdefinierte Rolle mit minimalen Berechtigungen erstellen. Weitere Informationen zu Benutzerdefinierte Rollen erstellen und verwalten.
An diesem Punkt hat der Nutzer die Berechtigung, die Routine count_key aufzurufen, kann jedoch nicht auf die Tabelle in private_dataset zugreifen. Wenn der Nutzer versucht, die Routine aufzurufen, erhält er eine Fehlermeldung ähnlich der folgenden:
```
Access Denied: Table myproject:private_dataset.private_table: User does
not have permission to query table myproject:private_dataset.private_table.
```
Führen Sie mit dem bq-Befehlszeilentool den Befehl show so aus:
```
bq show --format=prettyjson private_dataset > dataset.json
```
Die Ausgabe wird in einer lokalen Datei mit dem Namen dataset.json gespeichert.
Bearbeiten Sie dataset.json, um dem Array access das folgende JSON-Objekt hinzuzufügen:
```
{
 "routine": {
   "datasetId": "public_dataset",
   "projectId": "PROJECT_ID",
   "routineId": "count_key"
 }
}
```
Ersetzen Sie PROJECT_ID durch die Projekt-ID für public_dataset.
Führen Sie mit dem bq-Befehlszeilentool den Befehl update so aus:
```
bq update --source dataset.json private_dataset
```
Der Nutzer kann die folgende Abfrage ausführen, um zu prüfen, ob die UDF Zugriff auf private_dataset hat:
```
SELECT public_dataset.count_key('key1');
```