bigqueryの権限関連について

概要

• 分析を行うに当たってBigQueryの実行権限・アクセス権限に悩まされることが多い
  • 特に、BigQueryがアクセスしている元データがGCSやGoogle Sheetsなどから来ていると別途そのアクセス権限が必要になる
• ユースケース毎の適応例
  • 特定のユーザに特定のデータセットだけを閲覧可能にしたい
    • roles/bigquery.jobUserをプロジェクト全体に対して設定した上で、roles/bigquery.dataViewerを特定のデータセットに限定して適応する

クエリの実行権限

• roles/bigquery.jobUser

プロジェクト単位での権限

• roles/bigquery.dataViewer
• roles/bigquery.dataEditor
• roles/bigquery.dataOwner

データセット単位での権限

• roles/bigquery.dataViewer
• roles/bigquery.dataEditor
• roles/bigquery.dataOwner

権限の付与

GRANT `roles/bigquery.dataViewer`
ON SCHEMA mydataset
TO 'user:joe@example.com';

権限の取消

REVOKE `roles/bigquery.dataViewer`
ON SCHEMA mydataset
FROM 'user:joe@example.com';

GCSから読み込んでいる場合

• Storage object viewerの権限が別途必要になる

参考

• IAM の概要/cloud.google.com/bigquery
• BigQueryのアクセス制御と権限設計を解説
• Query table in Google BigQuery has error “Access Denied: BigQuery BigQuery: Permission denied while globbing file pattern.”