本頁面由 Cloud Translation API 翻譯而成。

基本角色和權限

BigQuery 支援將 IAM 基本角色用於專案層級存取權。

專案的基本角色

根據預設，將存取權授予專案的同時，也會將存取權授予該專案中的資料集。您可以覆寫每個資料集的預設存取權。下表說明會將哪些存取權授予基本 IAM 角色的成員。

基本角色	功能
`Viewer`	可以在專案中啟動工作。不同的工作類型可能還需要其他資料集角色。可以列出和取得所有工作，並更新角色在專案中啟動的工作。如果您在含有任何檢視者的專案中建立資料集，則 BigQuery 會將新資料集中預先定義的 bigquery.dataViewer 角色授予那些使用者。
`Editor`	和 `Viewer` 擁有相同權限，另外：可在專案內中建立新資料集如果您在含有任何編輯者的專案中建立資料集，則 BigQuery 會將新資料集中預先定義的 bigquery.dataEditor 角色授予那些使用者。
`Owner`	和 `Editor` 擁有相同權限，另外：可撤銷或變更任何專案角色列出專案內的所有資料集可刪除專案中的任何資料集可列出和取得在專案中執行的所有工作，包括其他專案使用者執行的工作。如果您建立資料集，BigQuery 會將新資料集中預先定義的 bigquery.dataOwner 角色授予所有專案擁有者。例外狀況：使用者執行查詢時，系統會建立匿名資料集，以儲存快取結果資料表。只有執行該項查詢的使用者具有匿名資料集時的 `OWNER` 存取權。請勿將 `OWNER` 基本角色與 BigQuery 管理員 (`roles/bigquery.admin`) IAM 角色混淆。BigQuery 管理員可提供 `OWNER` 基本角色未授予的多項權限。如果您要授予 BigQuery 專案層級存取權，請使用 IAM 角色，而非基本角色。

您可以透過 Google Cloud 控制台授予或撤銷專案的基本角色。建立專案時，系統會將 Owner 角色授予建立該專案的使用者。

如要進一步瞭解如何授予或撤銷專案角色的存取權，請參閱 IAM 說明文件中的「授予、變更及撤銷資源的存取權」一文。

資料集的基本角色

以下是適用於資料集層級的基本角色。

資料集角色功能

資料集角色	功能
`READER`	可以讀取、查詢、複製或匯出資料集裡的資料表。可以讀取資料集裡的處理常式可以對資料集呼叫 get 可以對資料集裡的資料表呼叫 get 和 list 可以對資料集裡的處理常式呼叫 get 和 list 可以對資料集裡資料表的資料呼叫 list 「BigQuery 資料檢視者」(`roles/bigquery.dataViewer`) 預先定義的 IAM 角色會對應至 `READER` BigQuery 基本角色。當您在資料集層級授予 BigQuery 資料檢視者權限給實體時，該實體將獲得資料集的`READER`存取權。
`WRITER`	和 `READER` 擁有相同權限，另外：可以在資料集裡編輯或附加資料可以對資料表呼叫 insert、insertAll、update 或 delete 可以將資料集裡的資料表做為載入、複製或查詢工作的目的地可以對處理常式呼叫 insert、update 或 delete BigQuery 資料編輯者 (`roles/bigquery.dataEditor`) 預先定義的 IAM 角色會對應至 `WRITER` BigQuery 基本角色。當您在資料集層級授予 BigQuery 資料編輯者權限給實體時，該實體將獲得 `WRITER` 對資料集的存取權。
`OWNER`	和 `WRITER` 擁有相同權限，另外：可以對資料集呼叫 update 可以對資料集呼叫 delete 資料集必須至少包含一個具備 `OWNER` 角色的實體。擁有 `OWNER` 角色的使用者無法移除自己的 `OWNER` 角色。 BigQuery 資料擁有者 (`roles/bigquery.dataOwner`) 預先定義的 IAM 角色會對應至 `OWNER` BigQuery 基本角色。當您在資料集層級將 BigQuery 資料擁有者角色授予實體時，該實體將獲得資料集的`OWNER`存取權。

READER

可以讀取、查詢、複製或匯出資料集裡的資料表。可以讀取資料集裡的處理常式
- 可以對資料集呼叫 get
- 可以對資料集裡的資料表呼叫 get 和 list
- 可以對資料集裡的處理常式呼叫 get 和 list
- 可以對資料集裡資料表的資料呼叫 list

「BigQuery 資料檢視者」(roles/bigquery.dataViewer) 預先定義的 IAM 角色會對應至 READER BigQuery 基本角色。當您在資料集層級授予 BigQuery 資料檢視者權限給實體時，該實體將獲得資料集的READER存取權。

WRITER

和 READER 擁有相同權限，另外：
- 可以在資料集裡編輯或附加資料
  - 可以對資料表呼叫 insert、insertAll、update 或 delete
  - 可以將資料集裡的資料表做為載入、複製或查詢工作的目的地
  - 可以對處理常式呼叫 insert、update 或 delete

BigQuery 資料編輯者 (roles/bigquery.dataEditor) 預先定義的 IAM 角色會對應至 WRITER BigQuery 基本角色。當您在資料集層級授予 BigQuery 資料編輯者權限給實體時，該實體將獲得 WRITER 對資料集的存取權。

OWNER

和 WRITER 擁有相同權限，另外：
- 可以對資料集呼叫 update
- 可以對資料集呼叫 delete

資料集必須至少包含一個具備 OWNER 角色的實體。擁有 OWNER 角色的使用者無法移除自己的 OWNER 角色。

BigQuery 資料擁有者 (roles/bigquery.dataOwner) 預先定義的 IAM 角色會對應至 OWNER BigQuery 基本角色。當您在資料集層級將 BigQuery 資料擁有者角色授予實體時，該實體將獲得資料集的OWNER存取權。

如要進一步瞭解如何在資料集層級指派角色，請參閱控管資料集存取權。

建立新資料集時，BigQuery 會在下列實體中新增預設資料集存取權。您在資料集建立時指定的角色會覆寫預設值。

實體資料集角色

擁有專案 Viewer 存取權的所有使用者 READER

擁有專案 Editor 存取權的所有使用者 WRITER

實體	資料集角色
擁有專案 `Viewer` 存取權的所有使用者	`READER`
擁有專案 `Editor` 存取權的所有使用者	`WRITER`
擁有專案 `Owner` 存取權的所有使用者，以及資料集建立者	`OWNER` 例外狀況：使用者執行查詢時，系統會建立匿名資料集，以儲存快取結果資料表。只有執行該項查詢的使用者具有匿名資料集時的 `OWNER` 存取權。

擁有專案 Owner 存取權的所有使用者，
以及資料集建立者

OWNER

例外狀況：使用者執行查詢時，系統會建立匿名資料集，以儲存快取結果資料表。只有執行該項查詢的使用者具有匿名資料集時的 OWNER 存取權。