Diese Seite wurde von der Cloud Translation API übersetzt.

Autorisierte Routinen

Mit autorisierten Routinen können Sie Abfrageergebnisse für bestimmte Nutzer oder Gruppen freigeben, ohne ihnen Zugriff auf die zugrunde liegenden Tabellen zu gewähren, mit denen die Ergebnisse generiert wurden. Beispielsweise kann eine autorisierte Routine eine Aggregation von Daten berechnen oder einen Tabellenwert abrufen und diesen Wert in einer Berechnung verwenden.

Wenn ein Nutzer eine Routine aufruft, muss der Nutzer standardmäßig Zugriff auf die Daten in der Tabelle haben. Alternativ können Sie die Routine autorisieren, um auf das Dataset zuzugreifen, das die referenzierte Tabelle enthält. Eine autorisierte Routine kann die Tabellen im Dataset abfragen, auch wenn der Nutzer, der die Routine aufruft, diese Tabellen nicht direkt abfragen kann.

Die folgenden Arten von Routinen können autorisiert werden:

Routinen autorisieren

Zum Autorisieren einer Routine können Sie die Google Cloud Console, das bq-Befehlszeilentool oder die REST API verwenden:

Console

Rufen Sie in der Google Cloud Console die Seite „BigQuery“ auf.

BigQuery aufrufen
Klicken Sie im linken Bereich auf Explorer:

Wenn Sie den linken Bereich nicht sehen, klicken Sie auf Linken Bereich maximieren, um ihn zu öffnen.
Maximieren Sie im Bereich Explorer Ihr Projekt, klicken Sie auf Datasets und wählen Sie dann ein Dataset aus.
Klicken Sie im Detailbereich auf Freigabe > Routinen autorisieren.
Wählen Sie auf der Seite Autorisierte Routinen im Abschnitt Routine autorisieren die Option Projekt, Dataset und Routine für die Routine aus, die Sie autorisieren möchten.
Klicken Sie auf Autorisierung hinzufügen.

bq

Verwenden Sie den Befehl bq show, um die JSON-Darstellung des Datasets abzurufen, auf das die Routine zugreifen soll. Die Ausgabe des Befehls ist eine JSON-Darstellung der Ressource Dataset. Speichern Sie das Ergebnis in einer lokalen Datei.
```
bq show --format=prettyjson TARGET_DATASET > dataset.json
```
Ersetzen Sie TARGET_DATASET durch den Namen des Datasets, auf das die Routine zugreifen kann.
Bearbeiten Sie die Datei, um dem access-Array in der Dataset-Ressource das folgende JSON-Objekt hinzuzufügen:
```
{
 "routine": {
   "datasetId": "DATASET_NAME",
   "projectId": "PROJECT_ID",
   "routineId": "ROUTINE_NAME"
 }
}
```
Ersetzen Sie Folgendes:
- DATASET_NAME: der Name des Datasets, das die Routine enthält.
- PROJECT_ID: die Projekt-ID des Projekts, das die Routine enthält.
- ROUTINE_NAME: Der Name der Routine
Optional: Wenn Sie eine gespeicherte Prozedur autorisieren, weisen Sie eine IAM-Rolle zu. Diese Rolle schränkt den Zugriff auf das autorisierte Verfahren basierend auf den zugehörigen Berechtigungen ein. Fügen Sie dazu "role" dem JSON-Objekt hinzu:
```
{
 "role": "ROLE_NAME",
 "routine": {
   "datasetId": "DATASET_NAME",
   "projectId": "PROJECT_ID",
   "routineId": "ROUTINE_NAME"
 }
}
```
Ersetzen Sie ROLE_NAME durch den Namen der Rolle, die Sie anhängen möchten. Sie können die folgenden Rollen an eine gespeicherte Prozedur anhängen:
- BigQuery Routine Metadata Viewer (roles/bigquery.routineMetadataViewer)
- BigQuery Routine Data Viewer (roles/bigquery.routineDataViewer)
- BigQuery Routine Data Editor (roles/bigquery.routineDataEditor)
- BigQuery Routine Admin (roles/bigquery.routineAdmin)
Hinweis :Sie können diese Rollen nur an gespeicherte Prozeduren anhängen. Andere Arten von Routinen unterstützen keine Rollen.
Aktualisieren Sie das Dataset mit dem Befehl bq update:
```
bq update --source dataset.json TARGET_DATASET
```

API

Rufen Sie die Methode datasets.get auf, um das Dataset abzurufen, auf das die Routine zugreifen soll. Der Antworttext enthält eine Darstellung der Dataset-Ressource.
Fügen Sie dem access-Array in der Dataset-Ressource das folgende JSON-Objekt hinzu:
```
{
 "routine": {
   "datasetId": "DATASET_NAME",
   "projectId": "PROJECT_ID",
   "routineId": "ROUTINE_NAME"
 }
}
```
Ersetzen Sie Folgendes:
- DATASET_NAME: der Name des Datasets, das die UDF enthält.
- PROJECT_ID: die Projekt-ID des Projekts, das die UDF enthält.
- ROUTINE_NAME: Der Name der Routine
Optional: Wenn Sie eine gespeicherte Prozedur autorisieren, hängen Sie eine IAM-Rolle an. Diese Rolle schränkt den Zugriff auf die autorisierte Prozedur basierend auf ihren Berechtigungen ein. Fügen Sie dazu dem JSON-Objekt "role" hinzu:
```
{
 "role": "ROLE_NAME",
 "routine": {
   "datasetId": "DATASET_NAME",
   "projectId": "PROJECT_ID",
   "routineId": "ROUTINE_NAME"
 }
}
```
Ersetzen Sie ROLE_NAME durch den Namen der Rolle, die Sie anhängen möchten. Sie können die folgenden Rollen an eine gespeicherte Prozedur anhängen:
- BigQuery Routine Metadata Viewer (roles/bigquery.routineMetadataViewer)
- BigQuery Routine Data Viewer (roles/bigquery.routineDataViewer)
- BigQuery Routine Data Editor (roles/bigquery.routineDataEditor)
- BigQuery Routine Admin (roles/bigquery.routineAdmin)
Hinweis :Sie können diese Rollen nur an gespeicherte Prozeduren anhängen. Andere Arten von Routinen unterstützen keine Rollen.
Rufen Sie die Methode dataset.update mit der geänderten Dataset-Darstellung auf.

Kontingente und Limits

Autorisierte Routinen unterliegen den Dataset-Limits. Weitere Informationen finden Sie unter Dataset-Limits.

Beispiel für eine autorisierte Routine

Im Folgenden finden Sie ein End-to-End-Beispiel für das Erstellen und Verwenden einer autorisierten UDF.

Erstellen Sie zwei Datasets mit den Namen private_dataset und public_dataset. Weitere Informationen zu Dataset erstellen.

Führen Sie die folgende Anweisung aus, um eine Tabelle mit dem Namen private_table in private_dataset zu erstellen:

CREATE OR REPLACE TABLE private_dataset.private_table
AS SELECT key FROM UNNEST(['key1', 'key1','key2','key3']) key;

Führen Sie die folgende Anweisung aus, um eine UDF mit dem Namen count_key in public_dataset zu erstellen. Die UDF enthält eine SELECT-Anweisung für private_table.

CREATE OR REPLACE FUNCTION public_dataset.count_key(input_key STRING)
RETURNS INT64
AS
((SELECT COUNT(1) FROM private_dataset.private_table t WHERE t.key = input_key));

Weisen Sie einem Nutzer des Datasets public_dataset die Rolle bigquery.dataViewer zu. Diese Rolle enthält die Berechtigung bigquery.routines.get, mit der der Nutzer die Routine aufrufen kann. Weitere Informationen zum Zuweisen von Zugriffssteuerungen für Datasets finden Sie unter Zugriff auf Datasets steuern.

Hinweis: Sie sollten statt einer integrierten Rolle eine benutzerdefinierte Rolle mit minimalen Berechtigungen erstellen. Weitere Informationen zu Benutzerdefinierte Rollen erstellen und verwalten.
An diesem Punkt hat der Nutzer die Berechtigung, die Routine count_key aufzurufen, kann jedoch nicht auf die Tabelle in private_dataset zugreifen. Wenn der Nutzer versucht, die Routine aufzurufen, erhält er eine Fehlermeldung ähnlich der folgenden:
```
Access Denied: Table myproject:private_dataset.private_table: User does
not have permission to query table myproject:private_dataset.private_table.
```
Führen Sie mit dem bq-Befehlszeilentool den Befehl show so aus:
```
bq show --format=prettyjson private_dataset > dataset.json
```
Die Ausgabe wird in einer lokalen Datei mit dem Namen dataset.json gespeichert.
Bearbeiten Sie dataset.json, um dem access-Array das folgende JSON-Objekt hinzuzufügen:
```
{
 "routine": {
   "datasetId": "public_dataset",
   "projectId": "PROJECT_ID",
   "routineId": "count_key"
 }
}
```
Ersetzen Sie PROJECT_ID durch die Projekt-ID für public_dataset.
Führen Sie mit dem bq-Befehlszeilentool den Befehl update so aus:
```
bq update --source dataset.json private_dataset
```
Der Nutzer kann die folgende Abfrage ausführen, um zu prüfen, ob die UDF Zugriff auf private_dataset hat:
```
SELECT public_dataset.count_key('key1');
```