BigQuery - 角色和权限

在 BigQuery Studio UI 中运行查询看似无缝。由于开发人员已登录其 Google Cloud Platform 帐户，因此无需进行身份验证。然而，在幕后，某些限制和护栏确保开发人员只能在项目中执行某些操作。

身份访问和管理 (IAM) 角色

这些限制或指定称为角色和权限。在 GCP 中，这些角色被称为身份访问和管理 (IAM) 角色。

广义上，这些角色分为 3 个层级 −

BigQuery 管理员可以在项目中执行任何操作，例如创建或删除表以及启动和停止正在运行的作业 - 即使是其他用户发起的作业。

BigQuery 数据编辑者的权限略少。虽然他们可以读取、更新和删除表或视图，但他们缺乏项目级别的控制和权限，也无法控制其他用户的作业。

BigQuery 用户是 BigQuery IAM 角色中最低级别的。在访问和操作资源方面，他们的能力极其有限。他们有限的能力包括:列出表格和访问元数据。

自己使用 BigQuery 不需要了解任何这些角色或权限。但是，当您处理企业级数据时，了解角色和权限可以帮助加速解决访问问题或在配置服务帐户时派上用场。

就像 BigQuery 管理员可以向具有较低级别访问权限的用户授予权限并施加影响一样，他们也可以控制个人可以查看和交互的数据。这可以使用策略标签来实现。

策略标签本质上是组织数据的审查栏。管理员可以应用此标签来阻止组织内的用户访问敏感数据。虽然确定敏感数据的某些方面是主观的，但也有一个客观的定义。

在数据治理中，敏感数据被称为个人身份信息 (PII)。PII 包括可用于立即和密切识别特定个人的任何属性。它包括以下信息 −

以上任何一项都被视为极其敏感的信息，必须小心保护。为了指导保护，GCP 在其数据治理产品数据丢失预防的文档中确定了 150 多个 PII 属性。

还可以发布策略标签来保护组织免受内部用户的侵害，这些用户不应有权访问收入数据等业务关键信息。

可以通过 − 在 BigQuery 中配置并应用策略标签

开发人员可以知道何时应用了此类标签，因为它将显示为表格架构中字段名称旁边的灰色框。