问题:在GCP IAM中,我为> 30个用户分配了预定义角色BigQuery Data Viewer和BigQuery Data Editor,现在,当我创建一个新数据集时,由于“策略继承”,这30个以上的用户可以自动访问它。
问题:作为BQ项目管理员,我希望新创建的数据集仅对某些用户(30多个用户中的一小部分)可访问。最好的方法是什么?谢谢!
您不能覆盖更高级别授予的权限。因此,如果要在数据集级别限制访问,最好的方法是:
1)从项目级别删除当前权限BigQuery Data Viewer和BigQuery Data Editor。>>
2)再次授予权限,but only at dataset level
这也符合least privilege的推荐最佳实践。另外,如果可能,请use groups授予权限,因为它更易于管理。
此外,您可以使用另一个项目来创建数据集并允许访问所需的用户子集;但是,我不推荐这种方法,因为它只会使处理数据和具有访问权限的用户更加困难。