Cette page a été traduite par l'API Cloud Translation.

Présentation des contrôles de sécurité et d'accès dans BigQuery

Ce document présente les contrôles des accès dans BigQuery à l'aide du Identity and Access Management (IAM). IAM vous permet d'accorder un accès précis à des ressources BigQuery spécifiques et d'empêcher l'accès à d'autres ressources. IAM vous aide à appliquer le principe de sécurité du moindre privilège, qui stipule qu'aucun principal IAM ne doit avoir plus d'autorisations que nécessaire.

Lorsqu'un compte principal IAM tel qu'un utilisateur, un groupe ou un compte de service appelle une API Google Cloud , il doit disposer des autorisations IAM minimales nécessaires pour utiliser la ressource. Pour accorder à un compte principal les autorisations requises, vous lui attribuez un rôle IAM.

Ce document explique comment utiliser les rôles IAM prédéfinis et personnalisés pour permettre aux comptes principaux d'accéder aux ressources BigQuery.

Pour vous familiariser avec la gestion des accès dans Google Cloud, consultez la présentation d'IAM.

Types de rôles IAM

Un rôle est un ensemble d'autorisations pouvant être accordées à un principal IAM. Vous pouvez utiliser les types de rôles suivants dans IAM pour accorder l'accès aux ressources BigQuery:

Les rôles prédéfinis sont gérés par Google Cloud et sont compatibles avec des cas d'utilisation courants et des modèles de contrôle des accès.
Les rôles personnalisés fournissent un accès en fonction d'une liste d'autorisations spécifiée par l'utilisateur. Pour en savoir plus sur la création de rôles personnalisés, consultez la page Créer et gérer des rôles personnalisés dans la documentation IAM.

Pour déterminer si une ou plusieurs autorisations sont incluses dans un rôle IAM prédéfini, vous pouvez employer l'une des méthodes suivantes:

Référence sur les rôles et autorisations IAM BigQuery
Index des rôles et autorisations IAM
La commande gcloud iam roles describe
La méthode roles.get() dans l'API IAM

Rôles IAM dans BigQuery

Les autorisations ne sont pas attribuées directement aux utilisateurs, aux groupes ou aux comptes de service. À la place, des utilisateurs, des groupes ou des comptes de service ont accès à un ou plusieurs rôles prédéfinis ou personnalisés qui leur permettent d'effectuer des actions sur les ressources. Ces rôles sont accordés sur une ressource particulière, mais ils s'appliquent également à tous les descendants de cette ressource dans la hiérarchie des ressources.

Lorsque vous attribuez plusieurs types de rôles à un utilisateur, les autorisations accordées correspondent à une combinaison des autorisations de chaque rôle.

Vous pouvez accorder l'accès aux ressources BigQuery suivantes:

Ensembles de données et ressources associées dans les ensembles de données :
- Tables et vues
- Routines
Connexions
Requêtes enregistrées
Canevas de données
Préparations de données
Pipelines
Dépôts

Accorder l'accès aux ressources Resource Manager

Vous pouvez configurer l'accès aux ressources BigQuery via Resource Manager en attribuant un rôle BigQuery à un principal, puis en attribuant ce rôle à une organisation, un dossier ou un projet.

Lorsque vous accordez des rôles à des ressources Resource Manager telles que des organisations et des projets, vous accordez des autorisations sur toutes les ressources BigQuery de l'organisation ou du projet.

Pour en savoir plus sur l'utilisation d'IAM pour gérer l'accès aux ressources Resource Manager, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations dans la documentation IAM.

Accorder l'accès à des ensembles de données

Vous pouvez attribuer des rôles au niveau de l'ensemble de données pour ne fournir l'accès qu'à un ensemble de données spécifique, sans fournir un accès complet aux autres ressources du projet. Dans la hiérarchie des ressources IAM, les ensembles de données BigQuery sont des ressources enfants de projets. Pour en savoir plus sur l'attribution de rôles au niveau de l'ensemble de données, consultez la page Contrôler l'accès aux ressources avec IAM.

Accorder l'accès à des ressources individuelles au sein des ensembles de données

Vous pouvez accorder des rôles à certains types de ressources dans des ensembles de données, sans fournir un accès complet aux ressources de l'ensemble de données.

Les rôles peuvent être appliqués aux ressources suivantes au sein des ensembles de données:

Tables et vues
Routines

Pour en savoir plus sur l'attribution de rôles au niveau de la table, de la vue ou de la routine, consultez la section Contrôler l'accès aux ressources avec IAM.

Étape suivante

Pour en savoir plus sur l'attribution de rôles aux ressources BigQuery, consultez Contrôler l'accès aux ressources avec IAM.
Pour obtenir la liste des rôles et autorisations IAM prédéfinis dans BigQuery, consultez la page Rôles et autorisations IAM dans BigQuery.