이 문서에서는 BigQuery에서 데이터세트에 대한 액세스를 제어하는 방법을 설명합니다.
Cloud IAM 리소스 계층 구조의 더 높은 수준에서 BigQuery 권한을 구성할 수도 있습니다. Cloud IAM 리소스 계층 구조에 대한 자세한 내용은 Cloud IAM 문서의 액세스 제어를 위한 리소스 계층 구조 사용을 참조하세요.
개요
현재 테이블, 뷰, 열, 행에는 권한을 부여할 수 없습니다. BigQuery에서 액세스 제어를 지원하는 가장 낮은 수준의 리소스는 데이터세트입니다.
데이터세트 수준의 권한은 특정 데이터세트에 있는 테이블, 뷰, 테이블 데이터에 액세스할 수 있는 사용자, 그룹, 서비스 계정을 결정합니다. 예를 들어 사용자에게 특정 데이터세트에 대한 bigquery.dataOwner
Cloud IAM 역할을 부여하면 사용자는 해당 데이터세트의 테이블과 뷰를 생성, 업데이트, 삭제할 수 있습니다.
datasets.insert
API 메서드를 호출하여 데이터세트를 만드는 동안 액세스 제어를 적용할 수 있습니다.
GCP Console, 기본 BigQuery 웹 UI 또는 명령줄 도구를 사용하여 데이터세트를 만드는 동안에는 액세스 제어를 적용할 수 없습니다.
데이터세트가 생성된 후에 다음 방법으로 데이터세트에 액세스 제어를 적용할 수 있습니다.
- GCP Console 또는 기본 BigQuery 웹 UI 사용
bq update
CLI 명령어 사용datasets.patch
API 메서드 호출- 클라이언트 라이브러리 사용
필수 권한
데이터세트 액세스 제어를 할당하거나 업데이트하려면 최소한 bigquery.datasets.update
및 bigquery.datasets.get
권한이 부여되어 있어야 합니다. 사전 정의된 다음 Cloud IAM 역할에는 bigquery.datasets.update
및 bigquery.datasets.get
권한이 포함됩니다.
bigquery.dataOwner
bigquery.admin
또한 사용자에게 bigquery.datasets.create
권한이 있으면 해당 사용자가 데이터세트를 만들 때 이에 대한 bigquery.dataOwner
액세스 권한이 부여됩니다.
bigquery.dataOwner
액세스 권한은 사용자에게 자신이 만든 데이터세트의 속성을 업데이트할 권한을 부여합니다.
BigQuery의 Cloud IAM 역할 및 권한에 대한 자세한 내용은 액세스 제어를 참조하세요.
데이터세트에 대한 액세스 제어
데이터세트에 액세스 제어를 할당하려면 다음 안내를 따르세요.
Console
리소스에서 데이터세트를 선택한 후 창 오른쪽에 있는 데이터세트 공유를 클릭합니다.
데이터세트 공유 패널의 데이터세트 권한 탭에서 구성원 추가를 클릭합니다.
구성원 추가 패널의 새 구성원 텍스트 상자에 추가하려는 개체를 입력합니다. 다음 개체를 추가할 수 있습니다.
- Google 계정 이메일: 개별 Google 계정에 데이터세트 액세스 권한을 부여합니다.
- Google 그룹: Google 그룹의 모든 구성원에게 데이터세트 액세스 권한을 부여합니다.
- Google 앱 도메인: Google 도메인의 모든 사용자와 그룹에 데이터세트 액세스 권한을 부여합니다.
- 서비스 계정: 서비스 계정에 데이터세트 액세스 권한을 부여합니다.
- 모든 사람: 일반 대중에게 액세스 권한을 부여하려면 'allUsers'를 입력합니다.
- 모든 Google 계정: Google 계정에 로그인한 모든 사용자에게 액세스 권한을 부여하려면 'allAuthenticatedUsers'를 입력합니다.
역할 선택에서 BigQuery를 선택하고 새 구성원에 적절한 사전 정의된 IAM 역할을 선택합니다. 사전 정의된 각 BigQuery 역할에 할당된 권한에 대한 자세한 내용은 액세스 제어 페이지의 역할 섹션을 참조하세요.
완료를 클릭합니다.
기본 UI
데이터세트 오른쪽에 있는 드롭다운 화살표를 클릭하고 데이터세트 공유를 선택합니다.
데이터세트 공유 대화상자의 사용자 추가에서 필드 왼쪽에 있는 드롭다운을 클릭하고 적절한 옵션을 선택합니다. 기본 웹 UI를 사용하여 데이터세트에 액세스 제어를 적용하면 다음 사용자와 그룹에 액세스 권한을 부여할 수 있습니다.
- 이메일별 사용자 - 개별 Google 계정에 데이터세트 액세스 권한을 부여합니다.
- 이메일별 그룹 - Google 그룹의 모든 구성원에게 데이터세트 액세스 권한을 부여합니다.
- 도메인 - Google 도메인의 모든 사용자와 그룹에 데이터세트 액세스 권한을 부여합니다.
- 모든 인증된 사용자 - 모든 Google 계정 소유자에게 데이터세트 액세스 권한을 부여합니다(데이터세트를 공개로 설정).
- 프로젝트 소유자 - 모든 프로젝트 소유자에게 데이터세트 액세스 권한을 부여합니다.
- 프로젝트 뷰어 - 모든 프로젝트 뷰어에게 데이터세트 액세스 권한을 부여합니다.
- 프로젝트 편집자 - 모든 프로젝트 편집자에게 데이터세트 액세스 권한을 부여합니다.
승인된 뷰 - 뷰에 데이터세트 액세스 권한을 부여합니다.
텍스트 상자에 값을 입력합니다. 예를 들어 이메일별 사용자 또는 이메일별 그룹을 선택한 경우 사용자 또는 그룹의 이메일 주소를 입력합니다.
사용자 추가 필드 오른쪽에서 보기 가능을 클릭하고 목록에서 적합한 역할을 선택합니다.
- '보기 가능'(
READER
)은 bigquery.dataViewer에게 데이터세트 액세스 권한을 부여합니다. - '수정 가능'(
WRITER
)은 bigquery.dataEditor에게 데이터세트 액세스 권한을 부여합니다. '소유자임'(
OWNER
)은 bigquery.dataOwner에게 데이터세트 액세스 권한을 부여합니다.이러한 데이터세트 역할에 대한 자세한 내용은 데이터세트의 기본 역할을 참조하세요.
- '보기 가능'(
추가를 클릭한 후 변경사항 저장을 클릭합니다.
CLI
show
명령어를 사용하여 JSON 파일에 기존 데이터세트 정보(액세스 제어 포함)를 기록합니다. 데이터세트가 기본 프로젝트 이외의 프로젝트에 있는 경우 데이터세트 이름에 프로젝트 ID를project_id:dataset
형식으로 추가합니다.bq show \ --format=prettyjson \ project_id:dataset > path_to_file
각 항목의 의미는 다음과 같습니다.
- project_id는 프로젝트 ID입니다.
- dataset는 데이터세트 이름입니다.
- path_to_file은 로컬 머신의 JSON 파일 경로입니다.
예:
다음 명령어를 입력하면
mydataset
에 대한 액세스 제어를 JSON 파일에 기록할 수 있습니다.mydataset
는 사용자의 기본 프로젝트에 있습니다.bq show --format=prettyjson mydataset > /tmp/mydataset.json
다음 명령어를 입력하면
mydataset
에 대한 액세스 제어를 JSON 파일에 기록할 수 있습니다.mydataset
는myotherproject
에 있습니다.bq show --format=prettyjson \ myotherproject:mydataset > /tmp/mydataset.json
JSON 파일의
"access"
섹션을 변경합니다.specialGroup
항목(projectOwners
,projectWriters
,projectReaders
,allAuthenticatedUsers
)을 추가하거나 삭제할 수 있습니다. 또한userByEmail
,groupByEmail
,domain
을 추가, 삭제, 수정할 수 있습니다.예를 들어 데이터세트 JSON 파일의 액세스 섹션은 다음과 비슷합니다.
{ "access": [ { "role": "READER", "specialGroup": "projectReaders" }, { "role": "WRITER", "specialGroup": "projectWriters" }, { "role": "OWNER", "specialGroup": "projectOwners" }, { "role": "READER", "specialGroup": "allAuthenticatedUsers" }, { "role": "READER", "domain": "domain_name" }, { "role": "WRITER", "userByEmail": "user_email" }, { "role": "READER", "groupByEmail": "group_email" } ], ... }
편집이 완료되면
update
명령어에서--source
플래그를 사용하여 JSON 파일을 포함합니다. 데이터세트가 기본 프로젝트 이외의 프로젝트에 있는 경우 데이터세트 이름에 프로젝트 ID를project_id:dataset
형식으로 추가합니다.bq update \ --source path_to_file \ project_id:dataset
각 항목의 의미는 다음과 같습니다.
- path_to_file은 로컬 머신의 JSON 파일 경로입니다.
- project_id는 프로젝트 ID입니다.
- dataset는 데이터세트 이름입니다.
예:
다음 명령어를 입력하면
mydataset
에 대한 액세스 제어를 업데이트할 수 있습니다.mydataset
는 기본 프로젝트에 있습니다.bq update --source /tmp/mydataset.json mydataset
다음 명령어를 입력하면
mydataset
에 대한 액세스 제어를 업데이트할 수 있습니다.mydataset
는myotherproject
에 있습니다.bq update --source /tmp/mydataset.json myotherproject:mydataset
액세스 제어 변경사항을 확인하려면 파일에 정보를 기록하지 않고
show
명령어를 다시 입력합니다.bq show --format=prettyjson dataset
또는
bq show --format=prettyjson project_id:dataset
API
정의된 데이터세트 리소스와 함께 datasets.insert
를 호출하면 데이터세트가 생성될 때 액세스 제어를 적용할 수 있습니다. datasets.patch
를 호출하고 데이터세트 리소스에서 access
속성을 사용하여 액세스 제어를 업데이트합니다.
datasets.update
메서드는 전체 데이터세트 리소스를 바꾸므로 datasets.patch
메서드를 사용하여 액세스 제어를 업데이트하는 것이 좋습니다.
Go
이 샘플을 시도하기 전에 BigQuery 빠른 시작: 클라이언트 라이브러리 사용의 Go 설정 안내를 따르세요. 자세한 내용은 BigQuery Go API 참조 문서를 참조하세요.
데이터세트에 대한 액세스 제어를 사용하여 dataset.access_entries 속성을 설정합니다. 그런 다음 client.update_dataset() 함수를 호출하여 속성을 업데이트합니다.
Python
이 샘플을 시도하기 전에 BigQuery 빠른 시작: 클라이언트 라이브러리 사용의 Python 설정 안내를 따르세요. 자세한 내용은 BigQuery Python API 참조 문서를 확인하세요.
데이터세트에 대한 액세스 제어를 사용하여 dataset.access_entries 속성을 설정합니다. 그런 다음 client.update_dataset() 함수를 호출하여 속성을 업데이트합니다.다음 단계
- 데이터세트 만들기에 대한 자세한 내용은 데이터세트 만들기를 참조하세요.
- 프로젝트에서 데이터세트 나열에 대한 자세한 내용은 데이터세트 나열을 참조하세요.
- 데이터세트 메타데이터에 대한 자세한 내용은 데이터세트에 대한 정보 얻기를 참조하세요.
- 데이터세트 속성 변경에 대한 자세한 내용은 데이터세트 업데이트를 참조하세요.
- 라벨 만들기 및 관리에 대한 자세한 내용은 라벨 만들기 및 관리를 참조하세요.