Требуется ли для учетной записи службы роль пользователя задания BQ в том же проекте, что и наборы данных, которые она будет запрашивать?

Question

Мой эксперт по GCP говорит мне, что моему SA нужна только роль наблюдателя данных в проекте, в котором есть наборы данных, которые я хочу запросить, и что пока у него есть роль пользователя в любом другом проекте, запрос должен работать.

Но когда я запускаю запрос, я получаю эту ошибку:

google.api_core.exceptions.Forbidden: 403 POST https://bigquery.googleapis.com/bigquery/v2/projects/ ...: Доступ запрещен: Проект .. .: У пользователя нет разрешения bigquery.jobs.create в проекте ....

Так нужна ли SA роль пользователя задания BQ в том же проекте, где находятся наборы данных?

Answer 1

Ваш эксперт по GCP прав!

, если у него есть роль пользователя задания в любом другом проекте ...

Вам просто нужно убедиться, что вы запускаете задание из проекта, в котором это SA имеет роль пользователя задания. Для этого проекта будет выставлен счет на сумму текущих работ

.

Answer 2

Чтобы избежать ошибки, с которой вы столкнулись, необходимо иметь разрешение bigquery.jobs.create, как вы можете видеть в ошибке. У вас есть два варианта:

1.- Создать пользовательскую роль с таким разрешением.

2.- Добавить пользователя задания BigQuery или Роль пользователя BigQuery. У обоих есть необходимое разрешение bigquery.jobs.create.