事前定義ロールと権限

このページでは、BigQuery の Identity and Access Management（IAM）のロールと権限について説明します。

このページで説明するロールと権限には、BigQuery の次のコンパニオンプロダクトに関連するものも含まれています。

BigQuery ML
BigQuery Data Transfer Service
BigQuery BI Engine

BigQuery ML でのアクセス制御について詳しくは、BigQuery ML ドキュメントのアクセス制御をご覧ください。

概要

ID で Google Cloud API を呼び出す場合、BigQuery ではその ID がリソースを使用するための適切な権限を持っている必要があります。権限を付与するには、ユーザー、グループ、またはサービスアカウントにロールを付与します。

このページでは、BigQuery リソースにアクセスするために ID に付与する BigQuery IAM のロールについて説明します。

IAM のロールのタイプ

IAM には、次の 3 種類のロールがあります。

事前定義ロール: 特定のサービスへのアクセスを細かく制御します。また、Google Cloud により管理されます。事前定義ロールは、一般的なユースケースとアクセス制御パターンをサポートすることを目的としています。
カスタムロール: ユーザー指定の権限リストに従って、アクセスを細かく制御します。
基本ロール: オーナー、編集者、閲覧者のロールが含まれます。

注意: BigQuery には、IAM の導入前からデータセットレベルに適用される基本の役割が存在しています。基本ロールの使用は最小限にすることをおすすめします。本番環境では、他に選択肢がない限り、基本ロールを付与しないでください。

基本ロール、事前定義ロール、カスタムロールに 1 つ以上の権限が含まれているかどうかを確認するには、次のいずれかの方法を使用します。

gcloud iam roles describe コマンド
IAM API の roles.get() メソッド

ある特定のユーザーに事前定義ロールと基本ロールの両方を割り当てると、各ロールの権限が合わせて付与されます。

IAM を使用してリソースにアクセスする方法の詳細については、IAM ドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。

カスタムロールの作成方法については、IAM ドキュメントのカスタムロールの作成と管理をご覧ください。

BigQuery の権限と事前定義された IAM のロール

BigQuery リソースへのアクセス権を付与するには、ユーザー、グループ、またはサービスアカウントに、1 つ以上のロールを割り当てます。アクセス権は次の BigQuery リソースレベルで付与できます。

組織レベルまたは Google Cloud プロジェクトレベル
データセットレベル
テーブルレベルまたはビューレベル

組織レベルまたは Cloud プロジェクトレベルで適用されるロール

組織レベルおよびプロジェクトレベルでロールを割り当てると、BigQuery ジョブの実行権限、またはプロジェクトに含まれる BigQuery リソースすべてに対するアクセス権限が付与されます。

データセットレベルで適用されるロール

データセットレベルでロールを割り当てると、プロジェクトのリソースへの完全アクセス権を付与しなくても、特定のデータセットへのアクセス権を付与できます。IAM ポリシー階層では、BigQuery データセットはプロジェクトの子リソースにあたります。データセットレベルでロールを割り当てる方法について詳しくは、データセットへのアクセスの制御をご覧ください。

データセット内の個々のリソースに適用されるロール

データセットのリソースへの完全アクセス権を付与しなくても、データセット内の特定の種類のリソースにロールを個別に割り当てることができます。

以下の種類の個別のリソースにロールを適用できます。

テーブル
ビュー

以下の種類の個別のリソースにロールを適用することはできません。

ルーティン
モデル

テーブルレベルまたはビューレベルでロールを割り当てる方法の詳細は、テーブルまたはビューへのアクセスの制御をご覧ください。

BigQuery の権限

次の表に、BigQuery で使用可能な権限を記載します。

権限	説明
`bigquery.bireservations.get`（ベータ版）	BI Engine の予約を読み取ります。
`bigquery.bireservations.update`（ベータ版）	BI Engine の予約を更新します。
`bigquery.capacityCommitments.create`	プロジェクトに容量コミットメントを作成します。
`bigquery.capacityCommitments.delete`	容量コミットメントを削除します。
`bigquery.capacityCommitments.get`	容量コミットメントに関する詳細を取得します。
`bigquery.capacityCommitments.list`	プロジェクト内の容量コミットメントすべてを一覧表示します。
`bigquery.capacityCommitments.update`	プロジェクト内の容量コミットメントすべてを更新します。
`bigquery.connections.create`	プロジェクト内で新しい接続を作成します。
`bigquery.connections.delete`	接続を削除します。
`bigquery.connections.get`	接続のメタデータを取得します。認証情報は除外されます。
`bigquery.connections.list`	プロジェクト内の接続を一覧表示します。
`bigquery.connections.update`	接続とその認証情報を更新します。
`bigquery.connections.updateTag`	接続のタグを更新します。
`bigquery.connections.use`	接続構成を使用して、リモートデータソースに接続します。
`bigquery.datasets.create`	新しい空白のデータセットを作成します。
`bigquery.datasets.delete`	データセットを削除します。
`bigquery.datasets.get`	データセットに関するメタデータを取得します。
`bigquery.datasets.getIamPolicy`	データセットの IAM 権限を読み取ります。
`bigquery.datasets.setIamPolicy`	データセットの IAM 権限を変更します。
`bigquery.datasets.update`	データセットのメタデータを更新します。
`bigquery.datasets.updateTag`（ベータ版）	データセットのタグを更新します。
`bigquery.jobs.create`	プロジェクト内でジョブ（クエリを含む）を実行します。
`bigquery.jobs.get`	ジョブのデータとメタデータを取得します¹。
`bigquery.jobs.list`	すべてのジョブを一覧表示し、ユーザーが送信したジョブのメタデータを取得します¹。他のユーザーが送信したジョブについては、詳細とメタデータが削除されます。
`bigquery.jobs.listAll`	すべてのジョブを一覧表示し、あらゆるユーザーが送信したあらゆるジョブのメタデータを取得します¹。
`bigquery.jobs.delete`	ジョブのメタデータを削除します。
`bigquery.jobs.update`	ジョブをキャンセルします¹。
`bigquery.models.create`	新しいモデルを作成します。
`bigquery.models.delete`	モデルを削除します。
`bigquery.models.getData`	モデルデータを取得します。モデルメタデータを取得するには、`bigquery.models.getMetadata` が必要です。
`bigquery.models.getMetadata`	モデルメタデータを取得します。モデルデータを取得するには、`bigquery.models.getData` が必要です。
`bigquery.models.list`	モデルとモデルのメタデータを一覧表示します。
`bigquery.models.updateData`	モデルデータを更新します。モデルメタデータを更新するには、`bigquery.models.updateMetadata` が必要です。
`bigquery.models.updateMetadata`	モデルメタデータを更新します。モデルデータを更新するには、`bigquery.models.updateData` が必要です。
`bigquery.models.export`	モデルをエクスポートします。
`bigquery.readsessions.create`	BigQuery Storage Read API を使用して新しい読み取りセッションを作成します。
`bigquery.readsessions.getData`	Storage Read API を使用して読み取りセッションからデータを読み取ります。
`bigquery.readsessions.update`	Storage Read API を使用して読み取りセッションを更新します。
`bigquery.reservations.create`	プロジェクトに予約を作成します。
`bigquery.reservations.delete`	予約を削除します。
`bigquery.reservations.get`	予約の詳細を取得します。
`bigquery.reservations.list`	プロジェクト内の全予約を一覧表示します。
`bigquery.reservations.update`	予約のプロパティを更新します。
`bigquery.reservationAssignments.create`	予約割り当てを作成します。所有者プロジェクトと割り当て先リソースには、この権限が必要です。予約割り当てを移動するには、新しい所有者プロジェクトと割り当て先リソースに `bigquery.reservationAssignments.create` が必要です。
`bigquery.reservationAssignments.delete`	予約割り当てを削除します。この権限は、所有者プロジェクトと割り当て先リソースに必要です。予約の割り当てを移動するには、古い所有者プロジェクトと割り当て先リソースに `bigquery.reservationAssignments.delete` が必要です。
`bigquery.reservationAssignments.list`	プロジェクト内の予約割り当てすべてを一覧表示します。
`bigquery.reservationAssignments.search`	特定のプロジェクト、フォルダ、または組織の予約割り当てを検索します。
`bigquery.rowAccessPolicies.create`	テーブルに新しい行レベルのアクセスポリシーを作成します。
`bigquery.rowAccessPolicies.delete`	テーブルから行レベルのアクセスポリシーを削除します。
`bigquery.rowAccessPolicies.getFilteredData`	テーブルから、行レベルアクセスポリシーの権限付与者リストにあるメンバーにのみ表示するデータを取得します。この権限は、行レベルのアクセスポリシーにのみ付与することをおすすめします。
`bigquery.rowAccessPolicies.list`	テーブルのすべての行レベルのアクセスポリシーを表示します。
`bigquery.rowAccessPolicies.getIamPolicy`	行アクセスポリシーの IAM 権限を取得します。
`bigquery.rowAccessPolicies.setIamPolicy`	行アクセスポリシーの IAM 権限を設定します。
`bigquery.rowAccessPolicies.update`	行レベルのアクセスポリシーを再作成します。
`bigquery.routines.create`	新しいルーティン（関数とストアドプロシージャ）を作成します。
`bigquery.routines.delete`	ルーティンを削除します。
`bigquery.routines.get`	ルーティンの定義とメタデータを取得します。
`bigquery.routines.list`	ルーティンおよびルーティンのメタデータを一覧表示します。
`bigquery.routines.update`	ルーティンの定義とメタデータを更新します。
`bigquery.routines.updateTag`	ルーティンのタグを更新します。
`bigquery.savedqueries.create`	保存したクエリを作成します。
`bigquery.savedqueries.delete`	保存したクエリを削除します。
`bigquery.savedqueries.get`	保存したクエリのメタデータを取得します。
`bigquery.savedqueries.list`	保存したクエリの一覧を表示します。
`bigquery.savedqueries.update`	保存したクエリを更新します。
`bigquery.tables.create`	新しいテーブルを作成します。
`bigquery.tables.createSnapshot`（プレビュー）	新しいテーブルスナップショットを作成します。
`bigquery.tables.delete`	テーブルを削除します。
`bigquery.tables.deleteSnapshot`（プレビュー）	テーブルスナップショットを削除します。
`bigquery.tables.export`	BigQuery からテーブルのデータをエクスポートします。
`bigquery.tables.get`	テーブルのメタデータを取得します。テーブルのデータを取得するには、`bigquery.tables.getData` が必要です。
`bigquery.tables.getData`	テーブルのデータを取得します。この権限は、テーブルのデータを検索するために必要です。テーブルのメタデータを取得するには、`bigquery.tables.get` が必要です。
`bigquery.tables.getIamPolicy`	テーブルの IAM ポリシーを読み取ります。
`bigquery.tables.list`	テーブルとテーブルのメタデータを一覧表示します。
`bigquery.tables.restoreSnapshot`（プレビュー）	テーブルスナップショットを復元します。
`bigquery.tables.setCategory`	テーブルスキーマにポリシータグを設定します。
`bigquery.tables.setIamPolicy`	テーブルの IAM ポリシーを変更します。
`bigquery.tables.update`	テーブルのメタデータを更新します。テーブルのデータを更新するには、`bigquery.tables.updateData` が必要です。
`bigquery.tables.updateData`	テーブルのデータを更新します。テーブルのメタデータを更新するには、`bigquery.tables.update` が必要です。
`bigquery.tables.updateTag`（ベータ版）	テーブルのタグを更新します。
`bigquery.transfers.get`	転送のメタデータを取得します。
`bigquery.transfers.update`	転送を作成、更新、削除します。

¹ ジョブを作成すると、作成者に、そのジョブの bigquery.jobs.get 権限および bigquery.jobs.update 権限に相当する権限が自動的に付与されます。

BigQuery の IAM 事前定義ロール

次の表に、BigQuery の事前定義された IAM のロールと、各ロールに割り当てられた全権限の一覧を示します。各権限は、それぞれ特定のリソースタイプに適用されます。

ロール	権限
BigQuery 管理者（`roles/bigquery.admin`）プロジェクト内のすべてのリソースを管理する権限を提供します。プロジェクト内のすべてのデータを管理でき、プロジェクト内で実行されている他のユーザーのジョブもキャンセルできます。このロールを付与できる最下位レベルのリソース: プロジェクト	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.config.* bigquery.connections.* bigquery.datasets.* bigquery.jobs.* bigquery.models.* bigquery.readsessions.* bigquery.reservationAssignments.* bigquery.reservations.* bigquery.routines.* bigquery.rowAccessPolicies.create bigquery.rowAccessPolicies.delete bigquery.rowAccessPolicies.getIamPolicy bigquery.rowAccessPolicies.list bigquery.rowAccessPolicies.setIamPolicy bigquery.rowAccessPolicies.update bigquery.savedqueries.* bigquery.tables.* bigquery.transfers.* resourcemanager.projects.get resourcemanager.projects.list
BigQuery Connection 管理者（`roles/bigquery.connectionAdmin`）	bigquery.connections.*
BigQuery Connection ユーザー（`roles/bigquery.connectionUser`）	bigquery.connections.get bigquery.connections.getIamPolicy bigquery.connections.list bigquery.connections.use
BigQuery データ編集者（`roles/bigquery.dataEditor`）このロールをテーブルまたはビューに適用すると、次の権限が付与されます。テーブルまたはビューのデータとメタデータを読み取り、更新する。テーブルまたはビューを削除する。このロールは、個々のモデルやルーティンに適用できません。このロールをデータセットに適用すると、次の権限が付与されます。データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。データセットのテーブルを作成、更新、取得、削除する。プロジェクトまたは組織レベルで適用した場合、このロールは新しいデータセットを作成することもできます。このロールを付与できる最下位レベルのリソース: テーブルビュー	bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.models.* bigquery.routines.* bigquery.tables.create bigquery.tables.createSnapshot bigquery.tables.delete bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list bigquery.tables.restoreSnapshot bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag resourcemanager.projects.get resourcemanager.projects.list
BigQuery データオーナー（`roles/bigquery.dataOwner`）このロールをテーブルまたはビューに適用すると、次の権限が付与されます。テーブルまたはビューのデータとメタデータを読み取り、更新する。テーブルまたはビューを共有する。テーブルまたはビューを削除する。このロールは、個々のモデルやルーティンに適用できません。このロールをデータセットに適用すると、次の権限が付与されます。データセットを読み取り、更新、削除する。データセットのテーブルを作成、更新、取得、削除する。プロジェクトまたは組織レベルで適用した場合、このロールは新しいデータセットを作成することもできます。このロールを付与できる最下位レベルのリソース: テーブルビュー	bigquery.datasets.* bigquery.models.* bigquery.routines.* bigquery.rowAccessPolicies.create bigquery.rowAccessPolicies.delete bigquery.rowAccessPolicies.getIamPolicy bigquery.rowAccessPolicies.list bigquery.rowAccessPolicies.setIamPolicy bigquery.rowAccessPolicies.update bigquery.tables.* resourcemanager.projects.get resourcemanager.projects.list
BigQuery データ閲覧者（`roles/bigquery.dataViewer`）このロールをテーブルまたはビューに適用すると、次の権限が付与されます。テーブルまたはビューからデータとメタデータを読み取る。このロールは、個々のモデルやルーティンに適用できません。このロールをデータセットに適用すると、次の権限が付与されます。データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。データセットのテーブルからデータとメタデータを読み取る。プロジェクトまたは組織レベルで適用した場合、このロールは、プロジェクト内のすべてのデータセットを列挙することもできます。ただし、ジョブを実行するためには追加の役割が必要です。このロールを付与できる最下位レベルのリソース: テーブルビュー	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.createSnapshot bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list
BigQuery フィルタ済みデータ閲覧者（`roles/bigquery.filteredDataViewer`）行アクセスポリシーにより定義される、フィルタ済みテーブルデータを表示するためのアクセス権	bigquery.rowAccessPolicies.getFilteredData
BigQuery ジョブユーザー（`roles/bigquery.jobUser`）プロジェクト内でジョブ（クエリを含む）を実行する権限を付与します。このロールを付与できる最下位レベルのリソース: プロジェクト	bigquery.jobs.create resourcemanager.projects.get resourcemanager.projects.list
BigQuery メタデータ閲覧者（`roles/bigquery.metadataViewer`）このロールをテーブルまたはビューに適用すると、次の権限が付与されます。テーブルまたはビューからメタデータを読み取る。このロールは、個々のモデルやルーティンに適用できません。このロールをデータセットに適用すると、次の権限が付与されます。データセット内のテーブルとビューを一覧表示する。データセットのテーブルとビューからメタデータを読み取る。このロールをプロジェクトレベルまたは組織レベルで適用すると、次の権限が付与されます。プロジェクト内のすべてのデータセットを一覧表示し、すべてのデータセットのメタデータを読み込む。プロジェクト内のすべてのテーブルとビューを一覧表示し、すべてのテーブルとビューのメタデータを読み込みます。ジョブを実行する場合は追加の役割が必要です。このロールを付与できる最下位レベルのリソース: テーブルビュー	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.get bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list
BigQuery 読み取りセッションユーザー（`roles/bigquery.readSessionUser`）読み取りセッションを作成および使用するためのアクセス権	bigquery.readsessions.* resourcemanager.projects.get resourcemanager.projects.list
BigQuery リソース管理者（`roles/bigquery.resourceAdmin`） BigQuery のすべてのリソースを管理します。	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.* bigquery.reservations.* recommender.bigqueryCapacityCommitmentsInsights.* recommender.bigqueryCapacityCommitmentsRecommendations.* resourcemanager.projects.get resourcemanager.projects.list
BigQuery リソース編集者（`roles/bigquery.resourceEditor`）すべての BigQuery リソースを管理しますが、購入意思決定はできません。	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.* bigquery.reservations.* resourcemanager.projects.get resourcemanager.projects.list
BigQuery リソース閲覧者（`roles/bigquery.resourceViewer`）すべての BigQuery リソースを表示できますが、変更や購入意思決定はできません。	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list resourcemanager.projects.get resourcemanager.projects.list
BigQuery ユーザー（`roles/bigquery.user`）このロールをデータセットに適用すると、データセットのメタデータを読み取り、データセット内のテーブルを一覧表示できます。プロジェクトに適用すると、プロジェクト内でクエリなどのジョブを実行することもできるようになります。このロールを持つプリンシパルは、所有するジョブの列挙、所有するジョブのキャンセル、プロジェクト内のデータセットの列挙を行えます。また、プロジェクト内に新しいデータセットを作成することもできます。作成者には新しいデータセットに対する BigQuery データオーナーのロール（`roles/bigquery.dataOwner`）が付与されます。このロールを付与できる最下位レベルのリソース: データセット	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.config.get bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.jobs.create bigquery.jobs.list bigquery.models.list bigquery.readsessions.* bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list bigquery.routines.list bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.list bigquery.transfers.get resourcemanager.projects.get resourcemanager.projects.list

BigQuery の基本ロール

BigQuery の基本ロールについては、BigQuery の基本ロールと権限をご覧ください。

BigQuery のカスタムロール

BigQuery のカスタムの IAM ロールを作成するには、IAM のカスタムロールのドキュメントで説明されている手順を行います。

次のステップ

BigQuery のアクセス制御の例をご覧ください。
BigQuery の基本ロールについては、BigQuery の基本ロールと権限をご覧ください。
データセットレベルでロールを割り当てる方法については、データセットへのアクセスの制御をご覧ください。
テーブルまたはビューレベルでロールを割り当てる方法については、テーブルとビューへのアクセスの制御をご覧ください。