Änderungen an Zugriffssteuerungen auf Dataset-Ebene
Ab dem 15. September 2025 ist die IAM-Berechtigung (Identity and Access Management) bigquery.datasets.getIamPolicy
erforderlich, um die Zugriffssteuerung eines Datensatzes aufzurufen und die Ansicht INFORMATION_SCHEMA.OBJECT_PRIVILEGES
abzufragen. Die Berechtigung bigquery.datasets.setIamPolicy
ist erforderlich, um die Zugriffssteuerungen eines Datasets zu aktualisieren oder ein Dataset mit Zugriffssteuerungen mithilfe der API zu erstellen.
Vorzeitige Durchsetzung aktivieren
Bis zum 15. September 2025 können Sie die frühzeitige Durchsetzung der Berechtigungsänderungen aktivieren. Wenn Sie die Funktion aktivieren, ist die Berechtigung bigquery.datasets.getIamPolicy
erforderlich, um die Zugriffssteuerungen eines Datasets abzurufen. Die Berechtigung bigquery.datasets.setIamPolicy
ist erforderlich, um die Zugriffssteuerungen eines Datasets zu aktualisieren oder mit der API ein Dataset mit Zugriffssteuerungen zu erstellen.
Wenn Sie die frühzeitige Erzwingung aktivieren möchten, legen Sie die Konfigurationseinstellung enable_fine_grained_dataset_acls_option
auf TRUE
auf Organisations- oder Projektebene fest. Eine Anleitung zum Aktivieren von Konfigurationseinstellungen finden Sie unter Konfigurationseinstellungen verwalten.
Beispiele für Konfigurationseinstellungen
In den folgenden Beispielen wird gezeigt, wie die Konfigurationseinstellung enable_fine_grained_dataset_acls_option
festgelegt und entfernt wird.
Organisationseinstellungen konfigurieren
Mit der DDL-Anweisung ALTER ORGANIZATION SET OPTIONS
können Sie die Organisationseinstellungen konfigurieren.
Im folgenden Beispiel wird enable_fine_grained_dataset_acls_option
auf TRUE
auf Organisationsebene festgelegt:
ALTER ORGANIZATION SET OPTIONS ( `region-REGION.enable_fine_grained_dataset_acls_option` = TRUE);
Ersetzen Sie REGION durch die Region, die mit Ihrer Organisation verknüpft ist, z. B. us
oder europe-west6
.
Im folgenden Beispiel wird die Einstellung enable_fine_grained_dataset_acls_option
auf Organisationsebene gelöscht:
ALTER ORGANIZATION SET OPTIONS ( `region-REGION.enable_fine_grained_dataset_acls_option` = FALSE);
Projekteinstellungen konfigurieren
Mit der DDL-Anweisung ALTER PROJECT SET OPTIONS
können Sie Projekteinstellungen konfigurieren.
Die DDL-Anweisung ALTER PROJECT SET OPTIONS
akzeptiert optional die Variable project_id
. Wenn project_id
nicht angegeben ist, wird standardmäßig das aktuelle Projekt verwendet, in dem die Abfrage ausgeführt wird.
Im folgenden Beispiel wird für enable_fine_grained_dataset_acls_option
der Wert TRUE
festgelegt.
ALTER PROJECT PROJECT_ID SET OPTIONS ( `region-REGION.enable_fine_grained_dataset_acls_option` = TRUE);
Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.
Im folgenden Beispiel wird die Einstellung enable_fine_grained_dataset_acls_option
auf Projektebene gelöscht:
ALTER PROJECT PROJECT_ID SET OPTIONS ( `region-REGION.enable_fine_grained_dataset_acls_option` = FALSE);
Änderungen an benutzerdefinierten Rollen
Diese Änderung an den erforderlichen Berechtigungen wirkt sich auf bestehende benutzerdefinierte Rollen aus, die die Berechtigungen bigquery.datasets.get
, bigquery.datasets.create
oder bigquery.datasets.update
gewähren, aber nicht die Berechtigungen bigquery.datasets.getIamPolicy
oder bigquery.datasets.setIamPolicy
.
Alle benutzerdefinierten Rollen, die nur die Berechtigung bigquery.datasets.get
, bigquery.datasets.update
oder bigquery.datasets.create
enthalten, müssen bis zum 15. September 2025 um die Berechtigung bigquery.datasets.getIamPolicy
oder bigquery.datasets.setIamPolicy
ergänzt werden, wenn Sie die vorhandenen Funktionen der benutzerdefinierten Rollen beibehalten möchten. Wenn Nutzer mit Ihren benutzerdefinierten Rollen nur die Metadaten eines Datensatzes ansehen oder aktualisieren sollen, verwenden Sie die neuen Parameter dataset_view
und update_mode
.
Vordefinierte BigQuery-Rollen sind von dieser Änderung nicht betroffen. Alle vordefinierten Rollen, die die Berechtigung bigquery.datasets.get
gewähren, gewähren auch die Berechtigung bigquery.datasets.getIamPolicy
. Alle vordefinierten Rollen, die die Berechtigung bigquery.datasets.update
gewähren, gewähren auch die Berechtigung bigquery.datasets.setIamPolicy
.
Änderungen an den Befehlen des bq-Befehlszeilentools
Wenn Sie die frühzeitige Erzwingung aktivieren, sind die folgenden bq-Befehle betroffen.
bq show
Verwenden Sie den Befehl bq show
mit dem folgenden Flag:
--dataset_view={METADATA|ACL|FULL}
- Gibt an, wie Berechtigungen angewendet werden, wenn Sie sich die Zugriffssteuerungen oder Metadaten eines Datensatzes ansehen.
Verwenden Sie einen der folgenden Werte:
METADATA
: Sie können nur die Metadaten des Datensatzes aufrufen. Für diesen Wert ist die Berechtigungbigquery.datasets.get
erforderlich.ACL
: nur die Zugriffssteuerungen des Datensatzes ansehen. Für diesen Wert ist die Berechtigungbigquery.datasets.getIamPolicy
erforderlich.FULL
: Sie können sowohl die Metadaten als auch die Zugriffssteuerung des Datensatzes aufrufen. Für diesen Wert sind die Berechtigungenbigquery.datasets.get
undbigquery.datasets.getIamPolicy
erforderlich.
bq update
Verwenden Sie den Befehl bq update
mit dem folgenden Flag:
--update_mode={UPDATE_METADATA|UPDATE_ACL|UPDATE_FULL}
- Gibt an, wie Berechtigungen angewendet werden, wenn Sie die Zugriffssteuerungen oder Metadaten eines Datensatzes aktualisieren.
Verwenden Sie einen der folgenden Werte:
UPDATE_METADATA
: nur die Metadaten des Datensatzes aktualisieren. Für diesen Wert ist die Berechtigungbigquery.datasets.update
erforderlich.UPDATE_ACL
: nur die Zugriffssteuerungen des Datensatzes aktualisieren. Für diesen Wert ist die Berechtigungbigquery.datasets.setIamPolicy
erforderlich.UPDATE_FULL
: Aktualisieren Sie sowohl die Metadaten als auch die Zugriffssteuerungen des Datensatzes. Für diesen Wert sind die Berechtigungenbigquery.datasets.update
undbigquery.datasets.setIamPolicy
erforderlich.
Änderungen an DCL-Anweisungen (Data Control Language)
Wenn Sie die frühzeitige Erzwingung aktivieren, sind die folgenden Berechtigungen erforderlich, um GRANT
- und REVOKE
-Anweisungen in Datasets mithilfe der Datenkontrollsprache (DCL) auszuführen:
bigquery.datasets.setIamPolicy
Änderungen an INFORMATION_SCHEMA
-Ansichtsanfragen
Wenn Sie die frühzeitige Erzwingung aktivieren, ist die Berechtigung bigquery.datasets.getIamPolicy
erforderlich, um die Ansicht INFORMATION_SCHEMA.OBJECT_PRIVILEGES
abzufragen.
Änderungen an API-Methoden
Wenn Sie die frühzeitige Erzwingung aktivieren, sind die folgenden Dataset-Methoden der REST v2 API betroffen.
datasets.get-Methode
Die Methode datasets.get
hat einen zusätzlichen Pfadparameter namens dataset_view
.
Mit diesem Parameter haben Sie mehr Kontrolle über die von der Methode datasets.get
zurückgegebenen Informationen. Anstatt immer sowohl Zugriffssteuerungen als auch Metadaten zurückzugeben, können Sie mit dem Parameter dataset_view
angeben, ob nur Metadaten, nur Zugriffssteuerungen oder beides zurückgegeben werden soll.
Das Feld access
in der Dataset-Ressource enthält die Zugriffssteuerungen des Datasets. Die anderen Felder wie friendlyName
, description
und labels
stellen die Metadaten des Datensatzes dar.
In der folgenden Tabelle sind die erforderliche Berechtigung und die API-Antwort für die verschiedenen vom Parameter dataset_view
unterstützten Werte aufgeführt:
Parameterwert | Erforderliche Berechtigungen | API-Antwort |
---|---|---|
DATASET_VIEW_UNSPECIFIED (oder leer) |
|
Der Standardwert. Gibt die Metadaten und Zugriffssteuerungen des Datensatzes zurück. |
METADATA |
|
Gibt die Metadaten des Datensatzes zurück. |
ACL |
|
Gibt die Zugriffssteuerungen, erforderlichen Felder und Felder in der Datensatzressource zurück, die nur ausgegeben werden. |
FULL |
|
Gibt die Metadaten und Zugriffssteuerungen des Datensatzes zurück. |
Wenn Sie die frühzeitige Durchsetzung nicht aktivieren oder sie nach der Aktivierung deaktivieren, können Sie den Parameter dataset_view
mit den Werten METADATA
oder ACL
verwenden. Die Werte FULL
und DATASET_VIEW_UNSPECIFIED
(oder leer) entsprechen dem bisherigen Verhalten. Mit der Berechtigung bigquery.datasets.get
können Sie sowohl Metadaten als auch Zugriffssteuerungen abrufen.
Beispiel
Im folgenden Beispiel wird eine GET
-Anfrage gesendet, bei der der Parameter dataset_view
auf METADATA
festgelegt ist:
GET https://bigquery.googleapis.com/bigquery/v2/projects/YOUR_PROJECT/datasets/YOUR_DATASET?datasetView=METADATA&key=YOUR_API_KEY HTTP/1.1
Ersetzen Sie Folgendes:
- YOUR_PROJECT: Name Ihres Projekts
- YOUR_DATASET: der Name des Datasets
- YOUR_API_KEY: Ihr API-Schlüssel
datasets.update-Methode
Die Methode datasets.update
hat einen zusätzlichen Pfadparameter namens update_mode
.
Mit diesem Parameter haben Sie mehr Kontrolle über die Felder, die mit der Methode datasets.update
aktualisiert werden. Anstatt immer Aktualisierungen sowohl für Zugriffssteuerungen als auch für Metadaten zuzulassen, können Sie mit dem Parameter update_mode
angeben, ob nur Metadaten, nur Zugriffssteuerungen oder beides aktualisiert werden soll.
Das Feld access
in der Dataset-Ressource enthält die Zugriffssteuerungen des Datasets. Die anderen Felder wie friendlyName
, description
und labels
stellen die Metadaten des Datensatzes dar.
In der folgenden Tabelle sind die erforderliche Berechtigung und die API-Antwort für die verschiedenen vom Parameter update_mode
unterstützten Werte aufgeführt:
Parameterwert | Erforderliche Berechtigungen | API-Antwort |
---|---|---|
UPDATE_MODE_UNSPECIFIED (oder leer) |
|
Der Standardwert. Die aktualisierten Metadaten und Zugriffssteuerungen des Datensatzes werden zurückgegeben. |
UPDATE_METADATA |
|
Gibt die aktualisierten Metadaten des Datensatzes zurück. |
UPDATE_ACL |
|
Gibt die aktualisierten Zugriffssteuerungen, Pflichtfelder und Felder in der Datensatzressource zurück, die nur für die Ausgabe verwendet werden. |
UPDATE_FULL |
|
Die aktualisierten Metadaten und Zugriffssteuerungen des Datensatzes werden zurückgegeben. |
Wenn Sie die frühzeitige Erzwingung nicht aktivieren oder sie nach der Aktivierung deaktivieren, wird in BigQuery standardmäßig das vorherige Verhalten verwendet. Mit der Berechtigung bigquery.datasets.update
können Sie sowohl Metadaten als auch Zugriffssteuerungen aktualisieren.
Beispiel
Im folgenden Beispiel wird eine PUT
-Anfrage gesendet, bei der der Parameter update_mode
auf METADATA
festgelegt ist:
PUT https://bigquery.googleapis.com/bigquery/v2/projects/YOUR_PROJECT/datasets/YOUR_DATASET?updateMode=METADATA&key=YOUR_API_KEY HTTP/1.1
Ersetzen Sie Folgendes:
- YOUR_PROJECT: Name Ihres Projekts
- YOUR_DATASET: der Name des Datasets
- YOUR_API_KEY: Name Ihres API-Schlüssels
datasets.patch-Methode
Die Methode datasets.patch
hat einen zusätzlichen Pfadparameter namens update_mode
.
Mit diesem Parameter haben Sie mehr Kontrolle über die Felder, die mit der Methode datasets.patch
aktualisiert werden. Anstatt immer Aktualisierungen sowohl für Zugriffssteuerungen als auch für Metadaten zuzulassen, können Sie mit dem Parameter update_mode
angeben, ob nur Metadaten, nur Zugriffssteuerungen oder beides aktualisiert werden soll.
Das Feld access
in der Dataset-Ressource enthält die Zugriffssteuerungen des Datasets. Die anderen Felder wie friendlyName
, description
und labels
stellen die Metadaten des Datensatzes dar.
In der folgenden Tabelle sind die erforderliche Berechtigung und die API-Antwort für die verschiedenen vom Parameter update_mode
unterstützten Werte aufgeführt:
Parameterwert | Erforderliche Berechtigungen | API-Antwort |
---|---|---|
UPDATE_MODE_UNSPECIFIED (oder leer) |
|
Der Standardwert. Die aktualisierten Metadaten und Zugriffssteuerungen des Datensatzes werden zurückgegeben. |
UPDATE_METADATA |
|
Gibt die aktualisierten Metadaten des Datensatzes zurück. |
UPDATE_ACL |
|
Gibt die aktualisierten Zugriffssteuerungen, Pflichtfelder und Felder in der Datensatzressource zurück, die nur für die Ausgabe verwendet werden. |
UPDATE_FULL |
|
Die aktualisierten Metadaten und Zugriffssteuerungen des Datensatzes werden zurückgegeben. |
Wenn Sie die frühzeitige Erzwingung nicht aktivieren oder sie nach der Aktivierung deaktivieren, wird in BigQuery standardmäßig das vorherige Verhalten verwendet. Mit der Berechtigung bigquery.datasets.update
können Sie sowohl Metadaten als auch Zugriffssteuerungen aktualisieren.
Beispiel
Im folgenden Beispiel wird eine PUT
-Anfrage gesendet, bei der der Parameter update_mode
auf METADATA
festgelegt ist:
PUT https://bigquery.googleapis.com/bigquery/v2/projects/YOUR_PROJECT/datasets/YOUR_DATASET?updateMode=METADATA&key=YOUR_API_KEY HTTP/1.1
Ersetzen Sie Folgendes:
- YOUR_PROJECT: Name Ihres Projekts
- YOUR_DATASET: der Name des Datasets
- YOUR_API_KEY: Name Ihres API-Schlüssels
Methode „datasets.insert“
Wenn Sie die frühzeitige Erzwingung aktivieren und die datasets.insert
-Methode verwenden, um ein Dataset mit Zugriffssteuerungen zu erstellen, wird in BigQuery geprüft, ob dem Nutzer die Berechtigungen bigquery.datasets.create
und bigquery.datasets.setIamPolicy
gewährt wurden.
Wenn Sie mit der API ein Dataset ohne Zugriffssteuerungen erstellen, ist nur die Berechtigung bigquery.datasets.create
erforderlich.