テーブルとデータセットにタグを付ける
このドキュメントでは、タグを使用して Identity and Access Management(IAM)ポリシーを BigQuery テーブルとデータセットに条件付きで適用する方法について説明します。
タグは、テーブルまたはデータセットに直接適用できる Key-Value ペア、またはテーブルまたはデータセットが他の Google Cloud リソースから継承できる Key-Value ペアです。リソースに特定のタグが付加されているかどうかに基づいて、条件付きでポリシーを適用できます。たとえば、environment:dev
タグの付いた任意のデータセットのプリンシパルに、BigQuery データ閲覧者のロールを条件付きで付与できます。
Google Cloud リソース階層全体でタグを使用する方法については、タグの概要をご覧ください。
まだ存在しないリソースを含め、関連する多くの BigQuery リソースに権限を同時に付与する場合は、IAM Conditions の使用を検討してください。
必要な権限
BigQuery でタグを使用するには、次の権限が必要です。
- タグをデータセットに適用するには、データセットに対する
bigquery.datasets.createTagBinding
IAM 権限と、添付するタグ値に対するプロジェクト レベルのresourcemanager.tagValueBindings.create
権限が必要です。 - タグをテーブルに適用するには、テーブルに対する
bigquery.tables.createTagBinding
IAM 権限と、添付するタグ値に対するプロジェクト レベルのresourcemanager.tagValueBindings.create
権限が必要です。 - タグをデータセットから削除するには、データセットに対する
bigquery.datasets.deleteTagBinding
IAM 権限と、削除するタグ値に対するプロジェクト レベルのresourcemanager.tagValueBindings.delete
権限が必要です。 - タグをテーブルから削除するには、テーブルに対する
bigquery.tables.deleteTagBinding
IAM 権限と、削除するタグ値に対するプロジェクト レベルのresourcemanager.tagValueBindings.delete
権限が必要です。 - データセットに適用されたタグを一覧表示するか、データセットの [詳細を編集] パネルの [タグ] セクションを表示するには、
bigquery.datasets.listTagBindings
IAM 権限が必要となります。 - データセットまたはテーブルの [詳細を編集] パネルで、親組織またはプロジェクトに関連付けられているタグキーを一覧表示するには、タグキーの親レベルの
resourcemanager.tagKeys.list
権限と、各タグキーのresourcemanager.tagKeys.get
権限が必要になります。 - データセットまたはテーブルの [詳細を編集] パネルの親組織またはプロジェクトに関連付けられているキーのタグ値を一覧表示するには、タグの親レベルの
resourcemanager.tagValues.list
権限および各タグ値のresourcemanager.tagValues.get
権限が必要です。
事前定義された次の IAM ロールには、必要な BigQuery の権限がすべて含まれています。
- BigQuery データオーナー(
roles/bigquery.dataOwner
) - BigQuery 管理者(
roles/bigquery.admin
)
Resource Manager の権限は、タグユーザー ロール(roles/resourcemanager.tagUser
)に含まれています。
タグキーとタグ値を作成する
タグを適用する前に、タグを作成してその値を構成する必要があります。タグキーとタグ値を作成する方法については、タグの作成とタグ値の追加をご覧ください。
データセットにタグを適用する
タグを作成したら、それをデータセットに適用できます。任意のタグキーのデータセットに適用できるタグ値は 1 つのみです。データセットに適用できるタグは最大 50 個までです。
コンソール
Google Cloud コンソールで [BigQuery] ページに移動します。
[エクスプローラ] ペインでプロジェクトを開いて、データセットを選択します。
[データセット情報] セクションで、
[詳細を編集] をクリックします。[タグ] セクションで、データセットに追加するタグを選択します。
[保存] をクリックします。
gcloud
コマンドラインを使用してデータセットにタグを適用するには、gcloud resource-manager tags bindings create
コマンドを使用してタグ バインディング リソースを作成します。
gcloud resource-manager tags bindings create \ --tag-value=TAGVALUE_NAME \ --parent=RESOURCE_ID \ --location=LOCATION
次のように置き換えます。
TAGVALUE_NAME
: 適用するタグ値の永続 ID または名前空間付きの名前(tagValues/4567890123
や1234567/my_tag_key/my_tag_value
など)。RESOURCE_ID
: リソースのタイプを識別するための API ドメイン名(//bigquery.googleapis.com/
)を含む、データセットの完全な ID(例://bigquery.googleapis.com/projects/my_project/datasets/my_dataset
)。LOCATION
: データセットのロケーション
データセットに適用されたタグの一覧表示
次の手順では、データセットに直接適用されているタグ バインディングのリストを示します。親リソースから継承されたタグは返されません。
コンソール
Google Cloud コンソールで [BigQuery] ページに移動します。
[エクスプローラ] ペインでプロジェクトを開いて、データセットを選択します。
タグが [データセット情報] セクションに表示されます。
gcloud
リソースに適用されたタグ バインディングのリストを取得するには、次のように gcloud resource-manager tags bindings list
コマンドを使用します。
gcloud resource-manager tags bindings list \ --parent=RESOURCE_ID \ --location=LOCATION
次のように置き換えます。
RESOURCE_ID
: リソースのタイプを識別するための API ドメイン名(//bigquery.googleapis.com/
)を含む、データセットの完全な ID(例://bigquery.googleapis.com/projects/my_project/datasets/my_dataset
)。LOCATION
: データセットのロケーション
出力は次のようになります。
name: tagBindings/%2F%2Fbigquery.googleapis.com%2Fprojects%2Fmy_project%2Fdatasets%2Fmy_dataset/tagValues/4567890123 parent: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset tagValue: tagValues/4567890123
データセットからタグの適用を解除する
タグ バインディング リソースを削除すると、リソースからタグの適用を解除できます。タグを削除する必要がある場合は、まずタグの適用を解除する必要があります。
コンソール
Google Cloud コンソールで [BigQuery] ページに移動します。
[エクスプローラ] ペインでプロジェクトを開いて、データセットを選択します。
[データセット情報] セクションで、
[詳細を編集] をクリックします。[タグ] セクションで、削除するタグの横にある
[項目を削除] をクリックします。[保存] をクリックします。
gcloud
コマンドラインを使用してデータセットからタグの適用を解除するには、gcloud alpha resource-manager tags bindings delete
コマンドを使用してタグ バインディングを削除します。
gcloud alpha resource-manager tags bindings delete \ --tag-value=TAGVALUE_NAME \ --parent=RESOURCE_ID \ --location=LOCATION
次のように置き換えます。
TAGVALUE_NAME
: 適用するタグ値の永続 ID または名前空間付きの名前(tagValues/4567890123
や1234567/my_tag_key/my_tag_value
など)。RESOURCE_ID
: リソースのタイプを識別するための API ドメイン名(//bigquery.googleapis.com/
)を含む、データセットの完全な ID(例://bigquery.googleapis.com/projects/my_project/datasets/my_dataset
)。LOCATION
: データセットのロケーション
新しいテーブルの作成時にタグを適用する
タグを作成したら、新しいテーブルに適用できます。特定のタグキーのデータセットに適用できるタグ値は 1 つのみです。テーブルに適用できるタグは最大 50 個までです。
コンソール
Google Cloud コンソールで [BigQuery] ページに移動します。
[エクスプローラ] ペインでプロジェクトを開き、データセットを選択します。
[データセット情報] セクションで、
[テーブルを作成] をクリックします。新しいテーブルの情報を入力します。詳細については、テーブルの作成と使用をご覧ください。
[タグ] セクションで、新しいテーブルに追加するタグを選択します。このステップでは、タグ ID を手動で入力することはできません。選択できるのは、プロジェクトまたは組織のタグのみです。
[テーブルを作成] をクリックします。
bq
--add_tags
フラグを指定して bq mk --table
コマンドを使用します。
bq mk --table \ --schema=SCHEMA \ --add_tags=TAGS \ PROJECT_ID:DATASET_ID.TABLE_ID
次のように置き換えます。
SCHEMA
: インライン スキーマの定義。TAGS
: 新しいテーブルに付加するタグをカンマ区切りで指定します(例:556741164180/env:prod,myProject/department:sales
)。各タグには、名前空間付きのキー名と値の略称が必要です。PROJECT_ID
: テーブルを作成するプロジェクトの ID。DATASET_ID
: テーブルを作成するデータセットの ID。TABLE_ID
: 作成する新しいテーブルの ID。
API
定義済みのテーブル リソースを使用して tables.insert
メソッドを呼び出し、resource_tags
フィールドにタグを含めます。
既存のテーブルにタグを適用する
タグを作成したら、既存のテーブルに適用できます。特定のタグキーのテーブルに適用できるタグ値は 1 つのみです。テーブルに適用できるタグは最大 50 個までです。
コンソール
Google Cloud コンソールで [BigQuery] ページに移動します。
[エクスプローラ] ペインで、プロジェクトとデータセットを開いて、テーブルを選択します。
[詳細] タブで、
[詳細を編集] をクリックします。[タグ] セクションで、テーブルに追加するタグを選択します。このステップでは、タグ ID を手動で入力することはできません。選択できるのは、プロジェクトまたは組織のタグのみです。
[保存] をクリックします。
bq
--add_tags
フラグを指定して bq update
コマンドを使用します。
bq update \ --add_tags=TAGS \ PROJECT_ID:DATASET_ID.TABLE_ID
次のように置き換えます。
TAGS
: テーブルに付加するタグを、カンマで区切って指定します(例:556741164180/env:prod,myProject/department:sales
)。各タグには、名前空間付きのキー名と値の略称が必要です。PROJECT_ID
: テーブルを含むプロジェクトの ID。DATASET_ID
: テーブルを含むデータセットの ID。TABLE_ID
: 更新するテーブルの ID。
API
定義済みのテーブル リソースを使用して tables.update
メソッドを呼び出し、resource_tags
フィールドにタグを含めます。
テーブルに適用されたタグを一覧表示する
テーブルに直接適用されているタグを一覧表示できます。このプロセスでは、親リソースから継承されたタグは一覧表示されません。
コンソール
Google Cloud コンソールで [BigQuery] ページに移動します。
[エクスプローラ] ペインで、プロジェクトとデータセットを開いて、テーブルを選択します。
タグは [詳細] タブに表示されます。
bq
bq show
コマンドを使用して、tags
列を探します。テーブルにタグがない場合、tags
列は表示されません。
bq show \ PROJECT_ID:DATASET_ID.TABLE_ID
次のように置き換えます。
PROJECT_ID
: テーブルを含むプロジェクトの IDDATASET_ID
: テーブルを含むデータセットの IDTABLE_ID
: テーブルの ID
API
定義済みのテーブル リソースを使用して tables.get
メソッドを呼び出し、resource_tags
フィールドを探します。
テーブルからタグの適用を解除する
タグ バインディング リソースを削除すると、テーブルからタグの適用を解除できます。タグを削除する必要がある場合は、まずタグの適用を解除する必要があります。
コンソール
Google Cloud コンソールで [BigQuery] ページに移動します。
[エクスプローラ] ペインで、プロジェクトとデータセットを開いて、テーブルを選択します。
[詳細] タブで、
[詳細を編集] をクリックします。[タグ] セクションで、テーブルから切断するタグを削除します。
[保存] をクリックします。
bq
テーブルから一部のタグを削除するには、--remove_tags
フラグを指定して bq update
コマンドを使用します。
bq update \ --remove_tags=TAG_KEYS \ PROJECT_ID:DATASET_ID.TABLE_ID
次のように置き換えます。
TAG_KEYS
: テーブルから切断するタグキー。カンマで区切ります(例:556741164180/env,myProject/department
)。各タグキーには名前空間付きのキー名が必要です。PROJECT_ID
: テーブルを含むプロジェクトの ID。DATASET_ID
: テーブルを含むデータセットの ID。TABLE_ID
: 更新するテーブルの ID。
テーブルからすべてのタグを削除するには、--clear_all_tags
フラグを指定して bq update
コマンドを使用します。
bq update \ --clear_all_tags \ PROJECT_ID:DATASET_ID.TABLE_ID
API
定義済みのテーブル リソースを使用して tables.update
メソッドを呼び出し、resource_tags
フィールドのタグを削除します。すべてのタグを削除するには、resource_tags
フィールドを削除します。
タグを削除する
データセットまたはテーブルから参照されているタグは削除できません。タグのキーまたは値自体を削除する前に、既存のタグ バインディング リソースをすべて切断する必要があります。タグキーとタグ値を削除するには、タグの削除をご覧ください。
例
たとえば、組織の管理者であるとします。組織のデータ アナリストはすべてグループ analysts@example.com のメンバーで、プロジェクトの userData
に対して BigQuery データ閲覧者 IAM ロールを持ちます。データ アナリストのインターンが 1 名雇用されています。このインターンには、会社のポリシーに従って、userData
プロジェクトの anonymousData
データセットを表示する権限のみが付与されます。タグを使用してこれらのメンバーのアクセスを制御できます。
キー
employee_type
と値intern
を使用してタグを作成します。Google Cloud コンソールの [IAM] ページに移動します。
データセットへのアクセスを制限するインターンを含む行を見つけて、その行の
[プリンシパルを編集] をクリックします。[ロール] メニューから [BigQuery データ閲覧者] を選択します。
[条件を追加] をクリックします。
[タイトル] フィールドと [説明] フィールドに、作成する IAM タグの条件を説明する値を入力します。
[条件作成ツール] タブで [追加] をクリックします。
[条件タイプ] メニューで、[リソース]、[タグ] の順に選択します。
[演算子] メニューで [値を持つ] を選択します。
[値のパス] フィールドに、
ORGANIZATION/TAG_KEY/TAG_VALUE
の形式でタグ値のパスを入力します(例:example.org/employee_type/intern
)。この IAM タグ条件によって、
intern
タグを持つデータセットに対するインターンのアクセスが制限されます。タグ条件を保存するには、[保存] をクリックします。
[権限を編集] ペインで行ったすべての変更を保存するには、[保存] をクリックします。
intern
タグの値をanonymousData
データセットに適用するには、コマンドラインを使用してgcloud alpha resource-manager tags bindings create
コマンドを実行します。gcloud alpha resource-manager tags bindings create \ --tag-value=tagValues/4567890123 \ --parent=//bigquery.googleapis.com/projects/userData/datasets/anonymousData \ --location=US
制限事項
テーブルタグは、BigQuery Omni テーブル、非表示データセットのテーブル、一時テーブルではサポートされていません。また、BigQuery Omni のクロスリージョン クエリでは、他のリージョンのテーブルのアクセス制御チェック中にタグを使用しません。
Cloud Resource Manager API ではテーブルタグを使用できません。
データセットまたはテーブルに適用できるタグは最大 50 個です。
ワイルドカード クエリは、タグが設定されているテーブルではサポートされていません。
BigQuery の外部のサービスには、IAM タグ条件を適切に検証できないものもあります。タグ条件が正の場合、つまり、そのリソースに特定のタグがあるときだけ、ユーザーにそのリソースのロールが付与される場合、適用されているタグに関係なく、リソースへのアクセスは拒否されます。タグ条件が負の場合、つまり、そのリソースに特定のタグがないときだけ、ユーザーにそのリソースのロールが付与される場合、条件はチェックされません。
たとえば、Data Catalog では、BigQuery データセットの IAM タグ条件を検証できません。
employee_type=intern
タグを持つデータセットで、インターンに BigQuery データ閲覧者ロールを付与する条件付き IAM ポリシーがあるとします。これは正のタグ条件であるため、そのデータセットにemployee_type=intern
タグがある場合でも、インターンは Data Catalog で検索してデータセットを表示することはできません。このタグ条件を負の値に変更して、インターンがemployee_type=intern
タグを持たないデータセットのみを表示できるようにすると、チェックは完全にスキップされ、インターンは BigQuery で通常アクセスできなかったデータセットを表示できるようになります。
次のステップ
- Google Cloud のタグの概要については、タグの概要をご覧ください。
- タグの使用方法について詳しくは、タグの作成と管理をご覧ください。
- IAM Conditions を使用して BigQuery リソースへのアクセスを制御する方法については、IAM Conditions でアクセスを制御するをご覧ください。