服务帐号将表从 BigQuery 上的特定数据集导出到 CloudStorage 上的特定存储桶的最低权限设置是多少?

【问题标题】:What is the minimum permission set for a service account to export a table from a specific dataset on BigQuery to a specific bucket on CloudStorage?服务帐号将表从 BigQuery 上的特定数据集导出到 CloudStorage 上的特定存储桶的最低权限设置是多少?
【发布时间】:2017-08-11 18:11:00
【问题描述】:

目前我有一个服务帐户,可以将 BigQuery 中的任何内容导出到云存储中的任何位置,但我觉得它的权限比满足最小权限原则的权限要多。

将 BigQuery 作为作业运行、将该查询保存到临时表并将其导出到 Cloud Storage 的最低权限设置是多少?

我怀疑答案将涉及以下组的一些权限。

  • bigquery.tables
  • bigquery.jobs
  • bigquery.datasets
  • resourcemanager.projects # 似乎是 storage.buckets 和 storage.objects 的替代品?

【问题讨论】:

    标签: google-bigquery google-cloud-platform google-cloud-storage


    【解决方案1】:

    您可以对这个服务帐户密钥运行一些测试。

    正如您在 BigQuery IAM Documentation 中看到的那样,如果您添加角色 dataEditorjobUser 可能就足够满足您的需求了。您也可以测试custom roles,但这仍然是alpha 工具。

    对于Cloud Storage IAM,也许roles/storage.objectCreator 已经足够了。

    如果您最终扮演这些角色并找到最适合您的角色,我还建议您用您的发现回答您自己的问题,这样通过 Google 到达这里的人可能会了解您是如何做到的。

    【讨论】:

      猜你喜欢
      • 2019-07-22
      • 2019-06-28
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2020-05-01
      • 1970-01-01
      • 2020-09-05
      • 2021-07-29
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode