アクセス制御

概要

BigQuery ML は、Identity and Access Management(IAM)を使用してモデルリソースへのアクセスを管理します。モデルリソースへのアクセス権を付与するには、ユーザー、グループ、またはサービス アカウントに 1 つ以上の BigQuery IAM 役割を割り当てます。BigQuery ML の権限は、BigQuery IAM 役割に組み込まれています。

このページでは、BigQuery ML Cloud Identity and Access Management の権限と役割について詳しく説明します。BigQuery でのアクセス制御の詳細については、BigQuery のアクセス制御ページをご覧ください。

BigQuery ML の権限

次の表に、BigQuery ML で使用可能な権限を示します。

BigQuery ML リリースの詳細については、リリースノートをご覧ください。

権限 説明
bigquery.models.list モデルとモデルのメタデータをリスト表示する。
bigquery.models.create 新しいモデルを作成する。
bigquery.models.delete モデルを削除する。
bigquery.models.getMetadata モデル メタデータを取得する。モデルデータを取得するには、bigquery.models.getData が必要です。
bigquery.models.getData モデルデータを取得する。モデル メタデータを取得するには、bigquery.models.getMetadata が必要です。
bigquery.models.updateMetadata モデル メタデータを更新する。モデルデータを更新するには、bigquery.models.updateData が必要です。
bigquery.models.updateData モデルデータを更新する。モデル メタデータを更新するには、bigquery.models.updateMetadata が必要です。

役割

次の表に、BigQuery の事前定義された Cloud IAM 役割と、各役割に含まれているすべての権限に対応するリストを示します。BigQuery ML の権限は、BigQuery の権限とともにリストされます。各権限は、それぞれ特定のリソースタイプを対象としています。

BigQuery の役割

roles/
bigquery.admin
BigQuery 管理者 プロジェクト内のすべてのリソースを管理する権限を提供します。プロジェクト内のすべてのデータを管理でき、プロジェクト内で実行されている他のユーザーのジョブもキャンセルできます。 bigquery.*
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト roles/
bigquery.connectionAdmin
BigQuery Connection 管理者 ベータ版 bigquery.connections.*
roles/
bigquery.connectionUser
BigQuery Connection ユーザー ベータ版 bigquery.connections.get
bigquery.connections.getIamPolicy
bigquery.connections.list
bigquery.connections.use
roles/
bigquery.dataEditor
BigQuery データ編集者

データセットに適用した場合、dataEditor には次の権限が与えられます。

  • データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。
  • データセットのテーブルを作成、更新、取得、削除する。

プロジェクトまたは組織レベルで適用した場合、この役割は新しいデータセットを作成することもできます。

bigquery.datasets.create
bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.datasets.updateTag
bigquery.models.*
bigquery.routines.*
bigquery.tables.*
resourcemanager.projects.get
resourcemanager.projects.list
データセット roles/
bigquery.dataOwner
BigQuery データオーナー

データセットに適用した場合、dataOwner には次の権限が与えられます。

  • データセットを読み取り、更新、削除する。
  • データセットのテーブルを作成、更新、取得、削除する。

プロジェクトまたは組織レベルで適用した場合、この役割は新しいデータセットを作成することもできます。

bigquery.datasets.*
bigquery.models.*
bigquery.routines.*
bigquery.tables.*
resourcemanager.projects.get
resourcemanager.projects.list
データセット roles/
bigquery.dataViewer
BigQuery データ閲覧者

データセットに適用した場合、dataViewer には次の権限が与えられます。

  • データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。
  • データセットのテーブルからデータとメタデータを読み取る。

プロジェクトまたは組織レベルで適用した場合、この役割はプロジェクト内のすべてのデータセットを列挙することもできます。ただし、ジョブを実行するためには追加の役割が必要です。

bigquery.datasets.get
bigquery.datasets.getIamPolicy bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list データセット roles/
bigquery.jobUser
BigQuery ジョブユーザー プロジェクト内でジョブ(クエリを含む)を実行する権限を付与します。jobUser 役割は、自分が所有するジョブの列挙とキャンセルを行うことができます。 bigquery.jobs.create
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト roles/
bigquery.metadataViewer
BigQuery メタデータ閲覧者

プロジェクト レベルまたは組織レベルで適用した場合、metadataViewer で次の権限が付与されます。

  • プロジェクト内のすべてのデータセットを一覧表示し、すべてのデータセットのメタデータを読み込む。
  • プロジェクト内のすべてのテーブルとビューを一覧表示し、すべてのテーブルとビューのメタデータを読み込みます。

ジョブを実行する場合は追加の役割が必要です。

bigquery.datasets.get
bigquery.datasets.getIamPolicy bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.get bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list プロジェクト roles/
bigquery.readSessionUser
BigQuery 読み取りセッション ユーザー ベータ版 読み取りセッションを作成および使用するためのアクセス権 bigquery.readsessions.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
bigquery.user
BigQuery ユーザー プロジェクト内でジョブ(クエリを含む)を実行する権限を付与します。ユーザーの役割は、自分が所有するジョブの列挙、自分が所有するジョブのキャンセル、プロジェクト内のデータセットの列挙ができます。また、プロジェクト内に新しいデータセットを作成することもできます。作成者には新しいデータセットの bigquery.dataOwner の役割が付与されます。 bigquery.config.get
bigquery.datasets.create
bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.jobs.create
bigquery.jobs.list
bigquery.models.list
bigquery.readsessions.*
bigquery.routines.list
bigquery.savedqueries.get
bigquery.savedqueries.list
bigquery.tables.list
bigquery.transfers.get
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
役割 役職 説明 権限 最下位のリソース

カスタムの役割

事前定義された役割に加えて、BigQuery ML ではカスタムの役割もサポートされています。詳細については、Cloud IAM ドキュメントのカスタムの役割の作成と管理をご覧ください。

BigQuery ML でカスタムの役割を使用していたお客様については、現在、新しい権限を BigQuery ML で使用できます。ただし、2019 年 6 月 6 日まで有効になりません。カスタムの役割を持つお客様は、6 月 6 日までに新しい権限に移行する必要があります。事前定義された IAM 役割と基本の役割は、この変更による影響を受けません。

BigQuery ML リリースの詳細については、リリースノートをご覧ください。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...