Introduzione alla sicurezza e ai controlli dell'accesso in BigQuery

Questo documento fornisce una panoramica dei controlli di accesso in BigQuery utilizzando Identity and Access Management (IAM). IAM ti consente di concedere accesso granulare a risorse BigQuery specifiche e aiuta a impedire l'accesso ad altre risorse. IAM ti aiuta ad applicare il principio di sicurezza del privilegio minimo, che afferma che nessuna entità IAM deve disporre di più autorizzazioni di quelle di cui ha effettivamente bisogno.

Quando un'entità IAM, ad esempio un utente, un gruppo o un account di servizio, chiama un' Google Cloud API, deve disporre delle autorizzazioni IAM minime necessarie per utilizzare la risorsa. Per concedere a un'entità le autorizzazioni richieste, devi concederle un ruolo IAM.

Questo documento descrive come i ruoli IAM predefiniti e personalizzati possono essere utilizzati per consentire ai principali di accedere alle risorse BigQuery.

Per familiarizzare con la gestione dell'accesso in Google Cloud, consulta Panoramica di IAM.

Tipi di ruoli IAM

Un ruolo è un insieme di autorizzazioni che possono essere concesse a un'entità IAM. Puoi utilizzare i seguenti tipi di ruoli in IAM per concedere l'accesso alle risorse BigQuery:

Per determinare se una o più autorizzazioni sono incluse in un ruolo IAM predefinito, puoi utilizzare uno dei seguenti metodi:

Ruoli IAM in BigQuery

Le autorizzazioni non vengono assegnate direttamente a utenti, gruppi o account di servizio. Agli utenti, ai gruppi o agli account di servizio vengono invece concessi uno o più ruoli predefinite o personalizzati che li abilitano a eseguire azioni sulle risorse. Puoi assegnare questi ruoli a una determinata risorsa, ma si applicano anche a tutti i discendenti della risorsa nella gerarchia delle risorse.

Quando assegni più tipi di ruoli a un utente, le autorizzazioni concesse sono la combinazione delle autorizzazioni di ciascun ruolo.

Puoi concedere l'accesso alle seguenti risorse BigQuery:

  • Set di dati e le seguenti risorse all'interno dei set di dati:
    • Tabelle e viste
    • Routine
  • Connessioni
  • Query salvate
  • Canvas dei dati
  • Preparazioni dei dati
  • Pipeline
  • Repository

Concedere l'accesso alle risorse Resource Manager

Puoi configurare l'accesso alle risorse BigQuery tramite Resource Manager concedendo un ruolo BigQuery a un principale e poi concedendo quel ruolo a un'organizzazione, a una cartella o a un progetto.

Quando concedi i ruoli alle risorse Resource Manager, come organizzazioni e progetti, concedi le autorizzazioni per tutte le risorse BigQuery nell'organizzazione o nel progetto.

Per ulteriori informazioni sull'utilizzo di IAM per gestire l'accesso alle risorse di Resource Manager, consulta Gestire l'accesso a progetti, cartelle e organizzazioni nella documentazione IAM.

Concedere l'accesso ai set di dati

Puoi assegnare ruoli a livello di set di dati per fornire l'accesso a un set di dati specifico, senza fornire l'accesso completo alle altre risorse del progetto. Nella gerarchia delle risorse IAM, i set di dati BigQuery sono risorse secondarie dei progetti. Per ulteriori informazioni sull'assegnazione dei ruoli a livello di set di dati, consulta Controllare l'accesso alle risorse con IAM.

Concedere l'accesso a singole risorse all'interno dei set di dati

Puoi concedere ai ruoli l'accesso a determinati tipi di risorse all'interno dei set di dati, senza fornire l'accesso completo alle risorse del set di dati.

I ruoli possono essere applicati alle seguenti risorse all'interno dei set di dati:

  • Tabelle e viste
  • Routine

Per ulteriori informazioni sull'assegnazione dei ruoli a livello di tabella, visualizzazione o routine, consulta Controllare l'accesso alle risorse con IAM.

Passaggi successivi