{# END}

IAM を使用したアクセス制御

このページでは、BigQuery の Identity and Access Management（IAM）のロールと権限について説明します。 BigQuery のアクセス制御を構成する前に、IAM を使用して Google Cloud へのアクセスを管理する方法を理解しておく必要があります。

次の BigQuery サービスのロールと権限に関する詳細なガイダンスが必要になることもあります。

BigQuery ML

概要

ID（ユーザーまたはサービスアカウント）で Google Cloud API を呼び出す場合、BigQuery ではその ID にリソースを使用するための適切な権限がある必要があります。権限を付与するには、ユーザー、グループ、またはサービスアカウントにロールを付与します。

このページでは、BigQuery リソースにアクセスするために ID に付与する BigQuery IAM のロールについて説明します。

IAM のロールのタイプ

IAM では次のタイプのロールを管理できます。

事前定義ロール: 特定のサービスへのアクセスを細かく制御します。また、Google Cloud により管理されます。事前定義ロールは、一般的なユースケースとアクセス制御パターンをサポートすることを目的としています。
カスタムロール: ユーザー指定の権限リストに従って、アクセスを制御します。

ロールに 1 つ以上の権限が含まれているかどうかを確認するには、次のいずれかの方法を使用します。

1 人のユーザーに複数のロールタイプを割り当てると、付与される権限は各ロールの権限の合算になります。

IAM を使用してリソースにアクセスする方法の詳細については、IAM ドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。

カスタムロールの作成方法については、IAM ドキュメントのカスタムロールの作成と管理をご覧ください。

BigQuery の権限と事前定義された IAM のロール

権限は、ユーザー、グループ、サービスアカウントに直接には割り当てられません。代わりに、ユーザー、グループ、またはサービスアカウントに、事前定義ロールまたはカスタムロールへのアクセス権を付与し、リソースに対するアクションを実行する権限を付与します。

アクセス権は次の BigQuery リソースレベルで付与できます。

組織レベルまたは Google Cloud プロジェクトレベル
データセットレベル
テーブルレベルまたはビューレベル

組織レベルまたは Cloud プロジェクトレベルで適用されるロール

組織レベルおよびプロジェクトレベルでロールを割り当てると、BigQuery ジョブの実行権限、またはプロジェクトに含まれる BigQuery リソースすべてに対するアクセス権限が付与されます。

データセットレベルで適用されるロール

データセットレベルでロールを割り当てると、プロジェクトのリソースへの完全アクセス権を付与しなくても、特定のデータセットへのアクセス権を付与できます。IAM ポリシー階層では、BigQuery データセットはプロジェクトの子リソースにあたります。データセットレベルでロールを割り当てる方法について詳しくは、データセットへのアクセスの制御をご覧ください。

データセット内の個々のリソースに適用されるロール

データセットのリソースへの完全アクセス権を付与しなくても、データセット内の特定の種類のリソースにロールを個別に割り当てることができます。

以下の種類の個別のリソースにロールを適用できます。

テーブル
ビュー

以下の種類の個別のリソースにロールを適用することはできません。

ルーティン
モデル

テーブルレベルまたはビューレベルでロールを割り当てる方法の詳細は、テーブルまたはビューへのアクセスの制御をご覧ください。

BigQuery の権限

次の表に、BigQuery で使用可能な権限を記載します。

権限	Description
`bigquery.bireservations.get`	BI Engine の予約を読み取ります。
`bigquery.bireservations.update`	BI Engine の予約を更新します。
`bigquery.capacityCommitments.create`	プロジェクトに容量コミットメントを作成します。
`bigquery.capacityCommitments.delete`	容量コミットメントを削除します。
`bigquery.capacityCommitments.get`	容量コミットメントに関する詳細を取得します。
`bigquery.capacityCommitments.list`	プロジェクト内の容量コミットメントすべてを一覧表示します。
`bigquery.capacityCommitments.update`	プロジェクト内の容量コミットメントすべてを更新します。
`bigquery.config.update`	構成を作成する。
`bigquery.config.get`	構成の詳細を取得します。
`bigquery.connections.create`	プロジェクト内で新しい接続を作成します。
`bigquery.connections.delete`	接続を削除します。
`bigquery.connections.get`	接続のメタデータを取得します。認証情報は除外されます。
`bigquery.connections.list`	プロジェクト内の接続を一覧表示します。
`bigquery.connections.update`	接続とその認証情報を更新します。
`bigquery.connections.updateTag`	接続のタグを更新します。
`bigquery.connections.use`	接続構成を使用して、リモートデータソースに接続します。
`bigquery.connections.delegate`	接続を委任して、承認済みの外部テーブルとリモート関数を作成します。
`bigquery.dataPolicies.create`	新しいデータポリシーを作成します。この権限はプレビュー版です。
`bigquery.dataPolicies.delete`	データポリシーを削除します。この権限はプレビュー版です。
`bigquery.dataPolicies.get`	データポリシーに関するメタデータを取得します。この権限はプレビュー版です。
`bigquery.dataPolicies.getIamPolicy`	データポリシーの IAM 権限を読み取ります。この権限はプレビュー版です。
`bigquery.dataPolicies.list`	プロジェクト内のデータポリシーを一覧表示します。この権限はプレビュー版です。
`bigquery.dataPolicies.maskedGet`	データポリシーに関連付けられたポリシータグを持つ列のマスクされたデータを表示します。この権限はプレビュー版です。
`bigquery.dataPolicies.setIamPolicy`	データポリシーの IAM 権限を設定します。この権限はプレビュー版です。
`bigquery.dataPolicies.update`	データポリシーのメタデータを更新します。この権限はプレビュー版です。
`bigquery.datasets.create`	新しい空白のデータセットを作成します。
`bigquery.datasets.createTagBinding`	データセットのタグバインディングを作成します。
`bigquery.datasets.delete`	データセットを削除します。
`bigquery.datasets.deleteTagBinding`	データセットのタグバインディングを削除します。
`bigquery.datasets.get`	データセットに関するメタデータを取得します。
`bigquery.datasets.getIamPolicy`	データセットの IAM 権限を読み取ります。
`bigquery.datasets.link`	リンクされたデータセットを作成します。
`bigquery.datasets.listTagBindings`	データセットのタグバインディングを一覧表示します。
`bigquery.datasets.setIamPolicy`	データセットの IAM 権限を変更します。
`bigquery.datasets.update`	データセットのメタデータを更新します。
`bigquery.datasets.updateTag`（ベータ版）	データセットのタグを更新します。
`bigquery.jobs.create`	プロジェクト内でジョブ（クエリを含む）を実行します。
`bigquery.jobs.get`	ジョブのデータとメタデータを取得します¹。
`bigquery.jobs.list`	すべてのジョブを一覧表示し、任意のユーザーが送信した任意のジョブのメタデータを取得します。他のユーザーが送信したジョブについては、詳細とメタデータが削除されます。
`bigquery.jobs.listAll`	すべてのジョブを一覧表示し、任意のユーザーが送信した任意のジョブのメタデータを取得します。
`bigquery.jobs.listExecutionMetadata`（ベータ版）	ユーザーが送信したジョブに関するすべてのジョブ実行メタデータ（機密情報を除く）を一覧表示します。組織レベルでのみ適用でき、管理 UI で使用されます。
`bigquery.jobs.delete`	ジョブのメタデータを削除します。
`bigquery.jobs.update`	ジョブをキャンセルします¹。
`bigquery.models.create`	新しいモデルを作成します。
`bigquery.models.delete`	モデルを削除します。
`bigquery.models.getData`	モデルデータを取得します。モデルメタデータを取得するには、`bigquery.models.getMetadata` が必要です。
`bigquery.models.getMetadata`	モデルメタデータを取得します。モデルデータを取得するには、`bigquery.models.getData` が必要です。
`bigquery.models.list`	モデルとモデルのメタデータを一覧表示します。
`bigquery.models.updateData`	モデルデータを更新します。モデルメタデータを更新するには、`bigquery.models.updateMetadata` が必要です。
`bigquery.models.updateMetadata`	モデルメタデータを更新します。モデルデータを更新するには、`bigquery.models.updateData` が必要です。
`bigquery.models.export`	モデルをエクスポートします。
`bigquery.readsessions.create`	BigQuery Storage Read API を使用して新しい読み取りセッションを作成します。
`bigquery.readsessions.getData`	Storage Read API を使用して読み取りセッションからデータを読み取ります。
`bigquery.readsessions.update`	Storage Read API を使用して読み取りセッションを更新します。
`bigquery.reservations.create`	プロジェクトに予約を作成します。
`bigquery.reservations.delete`	予約を削除します。
`bigquery.reservations.get`	予約の詳細を取得します。
`bigquery.reservations.list`	プロジェクト内の全予約を一覧表示します。
`bigquery.reservations.update`	予約のプロパティを更新します。
`bigquery.reservationAssignments.create`	予約割り当てを作成します。所有者プロジェクトと割り当て先リソースには、この権限が必要です。予約割り当てを移動するには、新しい所有者プロジェクトと割り当て先リソースに `bigquery.reservationAssignments.create` が必要です。
`bigquery.reservationAssignments.delete`	予約割り当てを削除します。この権限は、所有者プロジェクトと割り当て先リソースに必要です。予約の割り当てを移動するには、古い所有者プロジェクトと割り当て先リソースに `bigquery.reservationAssignments.delete` が必要です。
`bigquery.reservationAssignments.list`	プロジェクト内の予約割り当てすべてを一覧表示します。
`bigquery.reservationAssignments.search`	特定のプロジェクト、フォルダ、または組織の予約割り当てを検索します。
`bigquery.rowAccessPolicies.create`	テーブルに新しい行レベルのアクセスポリシーを作成します。
`bigquery.rowAccessPolicies.delete`	テーブルから行レベルのアクセスポリシーを削除します。
`bigquery.rowAccessPolicies.getFilteredData`	テーブルから、行レベルアクセスポリシーの権限付与者リストにあるプリンシパルにのみ表示するデータを取得します。この権限は、行レベルのアクセスポリシーにのみ付与することをおすすめします。
`bigquery.rowAccessPolicies.list`	テーブルのすべての行レベルのアクセスポリシーを表示します。
`bigquery.rowAccessPolicies.overrideTimeTravelRestrictions`	行レベルのアクセスポリシーがある、または以前に存在していたテーブルの過去のデータにアクセスします。
`bigquery.rowAccessPolicies.getIamPolicy`	行アクセスポリシーの IAM 権限を取得します。
`bigquery.rowAccessPolicies.setIamPolicy`	行アクセスポリシーの IAM 権限を設定します。
`bigquery.rowAccessPolicies.update`	行レベルのアクセスポリシーを再作成します。
`bigquery.routines.create`	新しいルーティン（関数とストアドプロシージャ）を作成します。
`bigquery.routines.delete`	ルーティンを削除します。
`bigquery.routines.get`	ルーティンの定義とメタデータを取得します。
`bigquery.routines.list`	ルーティンおよびルーティンのメタデータを一覧表示します。
`bigquery.routines.update`	ルーティンの定義とメタデータを更新します。
`bigquery.routines.updateTag`	ルーティンのタグを更新します。
`bigquery.savedqueries.create`	保存したクエリを作成します。
`bigquery.savedqueries.delete`	保存したクエリを削除します。
`bigquery.savedqueries.get`	保存したクエリのメタデータを取得します。
`bigquery.savedqueries.list`	保存したクエリの一覧を表示します。
`bigquery.savedqueries.update`	保存したクエリを更新します。
`bigquery.tables.create`	新しいテーブルを作成します。
`bigquery.tables.createIndex`	テーブルに検索インデックスを作成します。
`bigquery.tables.createSnapshot`	新しいテーブルスナップショットを作成します。
`bigquery.tables.delete`	テーブルを削除します。
`bigquery.tables.deleteIndex`	検索インデックスをテーブルから削除します。
`bigquery.tables.deleteSnapshot`	テーブルスナップショットを削除します。
`bigquery.tables.export`	BigQuery からテーブルのデータをエクスポートします。
`bigquery.tables.get`	テーブルのメタデータを取得します。テーブルのデータを取得するには、`bigquery.tables.getData` が必要です。
`bigquery.tables.getData`	テーブルのデータを取得します。この権限は、テーブルのデータを検索するために必要です。テーブルのメタデータを取得するには、`bigquery.tables.get` が必要です。
`bigquery.tables.getIamPolicy`	テーブルの IAM ポリシーを読み取ります。
`bigquery.tables.list`	テーブルとテーブルのメタデータを一覧表示します。
`bigquery.tables.restoreSnapshot`	テーブルスナップショットを復元します。
`bigquery.tables.setCategory`	テーブルスキーマにポリシータグを設定します。
`bigquery.tables.setIamPolicy`	テーブルの IAM ポリシーを変更します。
`bigquery.tables.update`	テーブルのメタデータを更新します。テーブルのデータを更新するには、`bigquery.tables.updateData` が必要です。
`bigquery.tables.updateData`	テーブルのデータを更新します。テーブルのメタデータを更新するには、`bigquery.tables.update` が必要です。
`bigquery.tables.updateTag`（ベータ版）	テーブルのタグを更新します。
`bigquery.transfers.get`	転送のメタデータを取得します。
`bigquery.transfers.update`	転送を作成、更新、削除します。

¹ ジョブを作成すると、作成者に、そのジョブの bigquery.jobs.get 権限および bigquery.jobs.update 権限に相当する権限が自動的に付与されます。

BigQuery の IAM 事前定義ロール

次の表に、BigQuery の事前定義された IAM のロールと、各ロールに割り当てられた全権限の一覧を示します。各権限は、それぞれ特定のリソースタイプに適用されます。

ロール	権限
BigQuery 管理者（`roles/bigquery.admin`）プロジェクト内のすべてのリソースを管理する権限を提供します。プロジェクト内のすべてのデータを管理でき、プロジェクト内で実行されている他のユーザーのジョブもキャンセルできます。このロールを付与できる最下位レベルのリソース: データセット行アクセスポリシーテーブルビュー	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.config.* bigquery.connections.* bigquery.dataPolicies.create bigquery.dataPolicies.delete bigquery.dataPolicies.get bigquery.dataPolicies.getIamPolicy bigquery.dataPolicies.list bigquery.dataPolicies.setIamPolicy bigquery.dataPolicies.update bigquery.datasets.* bigquery.jobs.* bigquery.models.* bigquery.readsessions.* bigquery.reservationAssignments.* bigquery.reservations.* bigquery.routines.* bigquery.rowAccessPolicies.create bigquery.rowAccessPolicies.delete bigquery.rowAccessPolicies.getIamPolicy bigquery.rowAccessPolicies.list bigquery.rowAccessPolicies.overrideTimeTravelRestrictions bigquery.rowAccessPolicies.setIamPolicy bigquery.rowAccessPolicies.update bigquery.savedqueries.* bigquery.tables.* bigquery.transfers.* bigquerymigration.translation.translate resourcemanager.projects.get resourcemanager.projects.list
BigQuery Connection 管理者（`roles/bigquery.connectionAdmin`）	bigquery.connections.*
BigQuery Connection ユーザー（`roles/bigquery.connectionUser`）	bigquery.connections.get bigquery.connections.getIamPolicy bigquery.connections.list bigquery.connections.use
BigQuery データ編集者（`roles/bigquery.dataEditor`）このロールをテーブルまたはビューに適用すると、次の権限が付与されます。テーブルまたはビューのデータとメタデータを読み取り、更新する。テーブルまたはビューを削除する。このロールは、個々のモデルやルーティンに適用できません。このロールをデータセットに適用すると、次の権限が付与されます。データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。データセットのテーブルを作成、更新、取得、削除する。プロジェクトまたは組織レベルで適用した場合、このロールは新しいデータセットを作成することもできます。このロールを付与できる最下位レベルのリソース: テーブルビュー	bigquery.config.get bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.models.* bigquery.routines.* bigquery.tables.create bigquery.tables.createIndex bigquery.tables.createSnapshot bigquery.tables.delete bigquery.tables.deleteIndex bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list bigquery.tables.restoreSnapshot bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag resourcemanager.projects.get resourcemanager.projects.list
BigQuery データオーナー（`roles/bigquery.dataOwner`）このロールをテーブルまたはビューに適用すると、次の権限が付与されます。テーブルまたはビューのデータとメタデータを読み取り、更新する。テーブルまたはビューを共有する。テーブルまたはビューを削除する。このロールは、個々のモデルやルーティンに適用できません。このロールをデータセットに適用すると、次の権限が付与されます。データセットを読み取り、更新、削除する。データセットのテーブルを作成、更新、取得、削除する。プロジェクトまたは組織レベルで適用した場合、このロールは新しいデータセットを作成することもできます。このロールを付与できる最下位レベルのリソース: テーブルビュー	bigquery.config.get bigquery.dataPolicies.create bigquery.dataPolicies.delete bigquery.dataPolicies.get bigquery.dataPolicies.getIamPolicy bigquery.dataPolicies.list bigquery.dataPolicies.setIamPolicy bigquery.dataPolicies.update bigquery.datasets.* bigquery.models.* bigquery.routines.* bigquery.rowAccessPolicies.create bigquery.rowAccessPolicies.delete bigquery.rowAccessPolicies.getIamPolicy bigquery.rowAccessPolicies.list bigquery.rowAccessPolicies.setIamPolicy bigquery.rowAccessPolicies.update bigquery.tables.* resourcemanager.projects.get resourcemanager.projects.list
BigQuery データ閲覧者（`roles/bigquery.dataViewer`）このロールをテーブルまたはビューに適用すると、次の権限が付与されます。テーブルまたはビューからデータとメタデータを読み取る。このロールは、個々のモデルやルーティンに適用できません。このロールをデータセットに適用すると、次の権限が付与されます。データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。データセットのテーブルからデータとメタデータを読み取る。プロジェクトまたは組織レベルで適用した場合、このロールは、プロジェクト内のすべてのデータセットを列挙することもできます。ただし、ジョブを実行するためには追加の役割が必要です。このロールを付与できる最下位レベルのリソース: テーブルビュー	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.createSnapshot bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list
BigQuery フィルタ済みデータ閲覧者（`roles/bigquery.filteredDataViewer`）行アクセスポリシーにより定義される、フィルタ済みテーブルデータを表示するためのアクセス権	bigquery.rowAccessPolicies.getFilteredData
BigQuery ジョブユーザー（`roles/bigquery.jobUser`）プロジェクト内でジョブ（クエリを含む）を実行する権限を付与します。このロールを付与できる最下位レベルのリソース: プロジェクト	bigquery.config.get bigquery.jobs.create resourcemanager.projects.get resourcemanager.projects.list
BigQuery メタデータ閲覧者（`roles/bigquery.metadataViewer`）このロールをテーブルまたはビューに適用すると、次の権限が付与されます。テーブルまたはビューからメタデータを読み取る。このロールは、個々のモデルやルーティンに適用できません。このロールをデータセットに適用すると、次の権限が付与されます。データセット内のテーブルとビューを一覧表示する。データセットのテーブルとビューからメタデータを読み取る。このロールをプロジェクトレベルまたは組織レベルで適用すると、次の権限が付与されます。プロジェクト内のすべてのデータセットを一覧表示し、すべてのデータセットのメタデータを読み込む。プロジェクト内のすべてのテーブルとビューを一覧表示し、すべてのテーブルとビューのメタデータを読み込みます。ジョブを実行する場合は追加の役割が必要です。このロールを付与できる最下位レベルのリソース: テーブルビュー	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.get bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list
BigQuery 読み取りセッションユーザー（`roles/bigquery.readSessionUser`）読み取りセッションを作成および使用するためのアクセス権	bigquery.readsessions.* resourcemanager.projects.get resourcemanager.projects.list
BigQuery リソース管理者（`roles/bigquery.resourceAdmin`） BigQuery のすべてのリソースを管理します。	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.jobs.listExecutionMetadata bigquery.reservationAssignments.* bigquery.reservations.* recommender.bigqueryCapacityCommitmentsInsights.* recommender.bigqueryCapacityCommitmentsRecommendations.* resourcemanager.projects.get resourcemanager.projects.list
BigQuery リソース編集者（`roles/bigquery.resourceEditor`）すべての BigQuery リソースを管理しますが、購入意思決定はできません。	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.jobs.listExecutionMetadata bigquery.reservationAssignments.* bigquery.reservations.* resourcemanager.projects.get resourcemanager.projects.list
BigQuery リソース閲覧者（`roles/bigquery.resourceViewer`）すべての BigQuery リソースを表示できますが、変更や購入意思決定はできません。	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.jobs.listExecutionMetadata bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list resourcemanager.projects.get resourcemanager.projects.list
BigQuery ユーザー（`roles/bigquery.user`）このロールをデータセットに適用すると、データセットのメタデータを読み取り、データセット内のテーブルを一覧表示できます。プロジェクトに適用すると、プロジェクト内でクエリなどのジョブを実行することもできるようになります。このロールを持つプリンシパルは、所有するジョブの列挙、所有するジョブのキャンセル、プロジェクト内のデータセットの列挙を行えます。また、プロジェクト内に新しいデータセットを作成することもできます。作成者には新しいデータセットに対する BigQuery データオーナーのロール（`roles/bigquery.dataOwner`）が付与されます。このロールを付与できる最下位レベルのリソース: データセット	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.config.get bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.jobs.create bigquery.jobs.list bigquery.models.list bigquery.readsessions.* bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list bigquery.routines.list bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.list bigquery.transfers.get bigquerymigration.translation.translate resourcemanager.projects.get resourcemanager.projects.list
マスクされた読み取り ^ベータ版（`roles/bigquerydatapolicy.maskedReader`）データポリシーに関連付けられたポリシータグでタグ付けされたサブリソース（BigQuery 列など）に対するマスクされた読み取りアクセス権	bigquery.dataPolicies.maskedGet

BigQuery のカスタムロール

BigQuery のカスタムの IAM ロールを作成するには、IAM のカスタムロールのドキュメントで説明されている手順を行います。

BigQuery の基本ロール

BigQuery の基本ロールについては、BigQuery の基本ロールと権限をご覧ください。

次のステップ

BigQuery のアクセス制御の例をご覧ください。
データセットレベルでロールを割り当てる方法については、データセットへのアクセスの制御をご覧ください。
テーブルまたはビューレベルでロールを割り当てる方法については、テーブルとビューへのアクセスの制御をご覧ください。