目前我有一个服务帐户,可以将任何内容从BigQuery导出到云存储中的任何位置,但我觉得它拥有的权限超过了最低权限原则。
将BigQuery作为作业运行的最小权限集是什么,将该查询保存到临时表并将其导出到云存储?
我怀疑答案会涉及以下群组的一些权限。
答案 0 :(得分:0)
您可以对此服务帐户密钥运行一些测试。
正如您在BigQuery IAM Documentation中所看到的,如果添加角色dataEditor和jobUser,它可能足以满足您的需求。您还可以测试custom roles,但这仍然是alpha工具。
对于Cloud Storage IAM,也许roles/storage.objectCreator已经足够了。
如果您最终玩弄这些角色并找到最适合自己的角色,我建议您回答一下您自己的问题,以便谷歌到达此处的人员可以了解您是如何做到的。