テーブルとデータセットにタグを付ける

このドキュメントでは、タグを使用して Identity and Access Management(IAM)ポリシーを BigQuery テーブルとデータセットに条件付きで適用する方法について説明します。

タグは、テーブルまたはデータセットに直接適用できる Key-Value ペア、またはテーブルまたはデータセットが他の Google Cloud リソースから継承できる Key-Value ペアです。リソースに特定のタグが付加されているかどうかに基づいて、条件付きでポリシーを適用できます。たとえば、environment:dev タグの付いた任意のデータセットのプリンシパルに、BigQuery データ閲覧者のロールを条件付きで付与できます。

Google Cloud リソース階層全体でタグを使用する方法については、タグの概要をご覧ください。

まだ存在しないリソースを含め、関連する多くの BigQuery リソースに権限を同時に付与する場合は、IAM Conditions の使用を検討してください。

必要な権限

BigQuery でタグを使用するには、次の権限が必要です。

  • タグをデータセットに適用するには、データセットに対する bigquery.datasets.createTagBinding IAM 権限と、添付するタグ値に対するプロジェクト レベルの resourcemanager.tagValueBindings.create 権限が必要です。
  • タグをテーブルに適用するには、テーブルに対する bigquery.tables.createTagBinding IAM 権限と、添付するタグ値に対するプロジェクト レベルの resourcemanager.tagValueBindings.create 権限が必要です。
  • タグをデータセットから削除するには、データセットに対する bigquery.datasets.deleteTagBinding IAM 権限と、削除するタグ値に対するプロジェクト レベルの resourcemanager.tagValueBindings.delete 権限が必要です。
  • タグをテーブルから削除するには、テーブルに対する bigquery.tables.deleteTagBinding IAM 権限と、削除するタグ値に対するプロジェクト レベルの resourcemanager.tagValueBindings.delete 権限が必要です。
  • データセットに適用されたタグを一覧表示するか、データセットの [詳細を編集] パネルの [タグ] セクションを表示するには、bigquery.datasets.listTagBindings IAM 権限が必要となります。
  • データセットまたはテーブルの [詳細を編集] パネルで、親組織またはプロジェクトに関連付けられているタグキーを一覧表示するには、タグキーの親レベルの resourcemanager.tagKeys.list 権限と、各タグキーの resourcemanager.tagKeys.get 権限が必要になります。
  • データセットまたはテーブルの [詳細を編集] パネルの親組織またはプロジェクトに関連付けられているキーのタグ値を一覧表示するには、タグの親レベルの resourcemanager.tagValues.list 権限および各タグ値の resourcemanager.tagValues.get 権限が必要です。

事前定義された次の IAM ロールには、必要な BigQuery の権限がすべて含まれています。

  • BigQuery データオーナー(roles/bigquery.dataOwner
  • BigQuery 管理者(roles/bigquery.admin

Resource Manager の権限は、タグユーザー ロール(roles/resourcemanager.tagUser)に含まれています。

タグキーとタグ値を作成する

タグを適用する前に、タグを作成してその値を構成する必要があります。タグキーとタグ値を作成する方法については、タグの作成タグ値の追加をご覧ください。

データセットにタグを適用する

タグを作成したら、それをデータセットに適用できます。任意のタグキーのデータセットに適用できるタグ値は 1 つのみです。データセットに適用できるタグは最大 50 個までです。

コンソール

  1. Google Cloud コンソールで [BigQuery] ページに移動します。

    [BigQuery] に移動

  2. [エクスプローラ] ペインでプロジェクトを開いて、データセットを選択します。

  3. [データセット情報] セクションで、 [詳細を編集] をクリックします。

  4. [タグ] セクションで、データセットに追加するタグを選択します。

  5. [保存] をクリックします。

gcloud

コマンドラインを使用してデータセットにタグを適用するには、gcloud resource-manager tags bindings create コマンドを使用してタグ バインディング リソースを作成します。

gcloud resource-manager tags bindings create \
    --tag-value=TAGVALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

次のように置き換えます。

  • TAGVALUE_NAME: 適用するタグ値の永続 ID または名前空間付きの名前(tagValues/45678901231234567/my_tag_key/my_tag_value など)。
  • RESOURCE_ID: リソースのタイプを識別するための API ドメイン名(//bigquery.googleapis.com/)を含む、データセットの完全な ID(例: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset)。
  • LOCATION: データセットのロケーション

データセットに適用されたタグの一覧表示

次の手順では、データセットに直接適用されているタグ バインディングのリストを示します。親リソースから継承されたタグは返されません。

コンソール

  1. Google Cloud コンソールで [BigQuery] ページに移動します。

    [BigQuery] に移動

  2. [エクスプローラ] ペインでプロジェクトを開いて、データセットを選択します。

    タグが [データセット情報] セクションに表示されます。

gcloud

リソースに適用されたタグ バインディングのリストを取得するには、次のように gcloud resource-manager tags bindings list コマンドを使用します。

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

次のように置き換えます。

  • RESOURCE_ID: リソースのタイプを識別するための API ドメイン名(//bigquery.googleapis.com/)を含む、データセットの完全な ID(例: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset)。

  • LOCATION: データセットのロケーション

出力は次のようになります。

name: tagBindings/%2F%2Fbigquery.googleapis.com%2Fprojects%2Fmy_project%2Fdatasets%2Fmy_dataset/tagValues/4567890123
parent: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset
tagValue: tagValues/4567890123

データセットからタグの適用を解除する

タグ バインディング リソースを削除すると、リソースからタグの適用を解除できます。タグを削除する必要がある場合は、まずタグの適用を解除する必要があります。

コンソール

  1. Google Cloud コンソールで [BigQuery] ページに移動します。

    [BigQuery] に移動

  2. [エクスプローラ] ペインでプロジェクトを開いて、データセットを選択します。

  3. [データセット情報] セクションで、 [詳細を編集] をクリックします。

  4. [タグ] セクションで、削除するタグの横にある [項目を削除] をクリックします。

  5. [保存] をクリックします。

gcloud

コマンドラインを使用してデータセットからタグの適用を解除するには、gcloud alpha resource-manager tags bindings delete コマンドを使用してタグ バインディングを削除します。

gcloud alpha resource-manager tags bindings delete \
    --tag-value=TAGVALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

次のように置き換えます。

  • TAGVALUE_NAME: 適用するタグ値の永続 ID または名前空間付きの名前(tagValues/45678901231234567/my_tag_key/my_tag_value など)。
  • RESOURCE_ID: リソースのタイプを識別するための API ドメイン名(//bigquery.googleapis.com/)を含む、データセットの完全な ID(例: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset)。
  • LOCATION: データセットのロケーション

新しいテーブルの作成時にタグを適用する

タグを作成したら、新しいテーブルに適用できます。特定のタグキーのデータセットに適用できるタグ値は 1 つのみです。テーブルに適用できるタグは最大 50 個までです。

コンソール

  1. Google Cloud コンソールで [BigQuery] ページに移動します。

    [BigQuery] に移動

  2. [エクスプローラ] ペインでプロジェクトを開き、データセットを選択します。

  3. [データセット情報] セクションで、[テーブルを作成] をクリックします。

  4. 新しいテーブルの情報を入力します。詳細については、テーブルの作成と使用をご覧ください。

  5. [タグ] セクションで、新しいテーブルに追加するタグを選択します。このステップでは、タグ ID を手動で入力することはできません。選択できるのは、プロジェクトまたは組織のタグのみです。

  6. [テーブルを作成] をクリックします。

bq

--add_tags フラグを指定して bq mk --table コマンドを使用します。

bq mk --table \
    --schema=SCHEMA \
    --add_tags=TAGS \
    PROJECT_ID:DATASET_ID.TABLE_ID

次のように置き換えます。

  • SCHEMA: インライン スキーマの定義
  • TAGS: 新しいテーブルに付加するタグをカンマ区切りで指定します(例: 556741164180/env:prod,myProject/department:sales)。各タグには、名前空間付きのキー名と値の略称が必要です。
  • PROJECT_ID: テーブルを作成するプロジェクトの ID。
  • DATASET_ID: テーブルを作成するデータセットの ID。
  • TABLE_ID: 作成する新しいテーブルの ID。

API

定義済みのテーブル リソースを使用して tables.insert メソッドを呼び出し、resource_tags フィールドにタグを含めます。

既存のテーブルにタグを適用する

タグを作成したら、既存のテーブルに適用できます。特定のタグキーのテーブルに適用できるタグ値は 1 つのみです。テーブルに適用できるタグは最大 50 個までです。

コンソール

  1. Google Cloud コンソールで [BigQuery] ページに移動します。

    [BigQuery] に移動

  2. [エクスプローラ] ペインで、プロジェクトとデータセットを開いて、テーブルを選択します。

  3. [詳細] タブで、 [詳細を編集] をクリックします。

  4. [タグ] セクションで、テーブルに追加するタグを選択します。このステップでは、タグ ID を手動で入力することはできません。選択できるのは、プロジェクトまたは組織のタグのみです。

  5. [保存] をクリックします。

bq

--add_tags フラグを指定して bq update コマンドを使用します。

bq update \
    --add_tags=TAGS \
    PROJECT_ID:DATASET_ID.TABLE_ID

次のように置き換えます。

  • TAGS: テーブルに付加するタグを、カンマで区切って指定します(例: 556741164180/env:prod,myProject/department:sales)。各タグには、名前空間付きのキー名と値の略称が必要です。
  • PROJECT_ID: テーブルを含むプロジェクトの ID。
  • DATASET_ID: テーブルを含むデータセットの ID。
  • TABLE_ID: 更新するテーブルの ID。

API

定義済みのテーブル リソースを使用して tables.update メソッドを呼び出し、resource_tags フィールドにタグを含めます。

テーブルに適用されたタグを一覧表示する

テーブルに直接適用されているタグを一覧表示できます。このプロセスでは、親リソースから継承されたタグは一覧表示されません。

コンソール

  1. Google Cloud コンソールで [BigQuery] ページに移動します。

    [BigQuery] に移動

  2. [エクスプローラ] ペインで、プロジェクトとデータセットを開いて、テーブルを選択します。

    タグは [詳細] タブに表示されます。

bq

bq show コマンドを使用して、tags 列を探します。テーブルにタグがない場合、tags 列は表示されません。

bq show \
    PROJECT_ID:DATASET_ID.TABLE_ID

次のように置き換えます。

  • PROJECT_ID: テーブルを含むプロジェクトの ID
  • DATASET_ID: テーブルを含むデータセットの ID
  • TABLE_ID: テーブルの ID

API

定義済みのテーブル リソースを使用して tables.get メソッドを呼び出し、resource_tags フィールドを探します。

テーブルからタグの適用を解除する

タグ バインディング リソースを削除すると、テーブルからタグの適用を解除できます。タグを削除する必要がある場合は、まずタグの適用を解除する必要があります。

コンソール

  1. Google Cloud コンソールで [BigQuery] ページに移動します。

    [BigQuery] に移動

  2. [エクスプローラ] ペインで、プロジェクトとデータセットを開いて、テーブルを選択します。

  3. [詳細] タブで、 [詳細を編集] をクリックします。

  4. [タグ] セクションで、テーブルから切断するタグを削除します。

  5. [保存] をクリックします。

bq

テーブルから一部のタグを削除するには、--remove_tags フラグを指定して bq update コマンドを使用します。

bq update \
    --remove_tags=TAG_KEYS \
    PROJECT_ID:DATASET_ID.TABLE_ID

次のように置き換えます。

  • TAG_KEYS: テーブルから切断するタグキー。カンマで区切ります(例: 556741164180/env,myProject/department)。各タグキーには名前空間付きのキー名が必要です。
  • PROJECT_ID: テーブルを含むプロジェクトの ID。
  • DATASET_ID: テーブルを含むデータセットの ID。
  • TABLE_ID: 更新するテーブルの ID。

テーブルからすべてのタグを削除するには、--clear_all_tags フラグを指定して bq update コマンドを使用します。

bq update \
    --clear_all_tags \
    PROJECT_ID:DATASET_ID.TABLE_ID

API

定義済みのテーブル リソースを使用して tables.update メソッドを呼び出し、resource_tags フィールドのタグを削除します。すべてのタグを削除するには、resource_tags フィールドを削除します。

タグを削除する

データセットまたはテーブルから参照されているタグは削除できません。タグのキーまたは値自体を削除する前に、既存のタグ バインディング リソースをすべて切断する必要があります。タグキーとタグ値を削除するには、タグの削除をご覧ください。

たとえば、組織の管理者であるとします。組織のデータ アナリストはすべてグループ analysts@example.com のメンバーで、プロジェクトの userData に対して BigQuery データ閲覧者 IAM ロールを持ちます。データ アナリストのインターンが 1 名雇用されています。このインターンには、会社のポリシーに従って、userData プロジェクトの anonymousData データセットを表示する権限のみが付与されます。タグを使用してこれらのメンバーのアクセスを制御できます。

  1. キー employee_type と値 intern を使用してタグを作成します

    タグキーとタグ値の作成例。

  2. Google Cloud コンソールの [IAM] ページに移動します。

    [IAM] に移動

  3. データセットへのアクセスを制限するインターンを含む行を見つけて、その行の [プリンシパルを編集] をクリックします。

  4. [ロール] メニューから [BigQuery データ閲覧者] を選択します。

  5. [条件を追加] をクリックします。

  6. [タイトル] フィールドと [説明] フィールドに、作成する IAM タグの条件を説明する値を入力します。

  7. [条件作成ツール] タブで [追加] をクリックします。

  8. [条件タイプ] メニューで、[リソース]、[タグ] の順に選択します。

  9. [演算子] メニューで [値を持つ] を選択します。

  10. [値のパス] フィールドに、ORGANIZATION/TAG_KEY/TAG_VALUE の形式でタグ値のパスを入力します(例: example.org/employee_type/intern)。

    タグを使用した IAM 条件の例。

    この IAM タグ条件によって、intern タグを持つデータセットに対するインターンのアクセスが制限されます。

  11. タグ条件を保存するには、[保存] をクリックします。

  12. [権限を編集] ペインで行ったすべての変更を保存するには、[保存] をクリックします。

  13. intern タグの値を anonymousData データセットに適用するには、コマンドラインを使用して gcloud alpha resource-manager tags bindings create コマンドを実行します。

    gcloud alpha resource-manager tags bindings create \
--tag-value=tagValues/4567890123 \
--parent=//bigquery.googleapis.com/projects/userData/datasets/anonymousData \
--location=US

制限事項

  • テーブルタグは、BigQuery Omni テーブル、非表示データセットのテーブル、一時テーブルではサポートされていません。また、BigQuery Omni のクロスリージョン クエリでは、他のリージョンのテーブルのアクセス制御チェック中にタグを使用しません。

  • Cloud Resource Manager API ではテーブルタグを使用できません。

  • データセットまたはテーブルに適用できるタグは最大 50 個です。

  • ワイルドカード クエリは、タグが設定されているテーブルではサポートされていません。

  • BigQuery の外部のサービスには、IAM タグ条件を適切に検証できないものもあります。タグ条件が正の場合、つまり、そのリソースに特定のタグがあるときだけ、ユーザーにそのリソースのロールが付与される場合、適用されているタグに関係なく、リソースへのアクセスは拒否されます。タグ条件が負の場合、つまり、そのリソースに特定のタグがないときだけ、ユーザーにそのリソースのロールが付与される場合、条件はチェックされません。

    たとえば、Data Catalog では、BigQuery データセットの IAM タグ条件を検証できません。employee_type=intern タグを持つデータセットで、インターンに BigQuery データ閲覧者ロールを付与する条件付き IAM ポリシーがあるとします。これは正のタグ条件であるため、そのデータセットに employee_type=intern タグがある場合でも、インターンは Data Catalog で検索してデータセットを表示することはできません。このタグ条件を負の値に変更して、インターンが employee_type=intern タグを持たないデータセットのみを表示できるようにすると、チェックは完全にスキップされ、インターンは BigQuery で通常アクセスできなかったデータセットを表示できるようになります。

次のステップ