IAM によるアクセス制御

このページでは、Bigtable で使用可能なアクセス制御オプションについて説明します。

概要

Bigtable は、Identity and Access Management(IAM)を使用してアクセス制御を行います。

Bigtable では、プロジェクト、インスタンス、テーブルの各レベルでアクセス制御を構成できます。プロジェクト レベルでのアクセス制御の例を次に示します。

  • プロジェクト内の任意のテーブルに対する読み取り権限(ただし書き込みは不可)をユーザーに許可する。
  • プロジェクト内の任意のテーブルに対する読み取り / 書き込み権限(ただしインスタンスの管理は不可)をユーザーに許可する。
  • プロジェクト内の任意のテーブルに対する読み取り / 書き込み権限と、インスタンスを管理する権限をユーザーに許可する。

インスタンス レベルでのアクセス制御の例を次に示します。

  • プロジェクトに複数のインスタンスがある場合、1 つのインスタンスでのみテーブルからの読み取りを許可する
  • プロジェクトに複数のインスタンスがある場合、1 つのインスタンスでのみ管理を許可する。

テーブルレベルでのアクセス制御の例を次に示します。

  • テーブルへの書き込みをユーザーに許可するが、テーブルからの読み取りは許可しない。
  • テーブルからの読み取りをユーザーに許可するが、テーブルへの書き込みは許可しない。

バックアップ レベルでのアクセス制御の例を次に示します。

  • ユーザーがバックアップを削除できないようにする。
  • ユーザーがバックアップから復元できないようにする。

IAM とその機能の詳細については、IAM デベロッパー ガイドをご覧ください。特に、アクセス権の付与、変更、取り消しをご覧ください。

Bigtable では、次のプリンシパル タイプへのアクセス権は付与できません。

Bigtable がサポートする権限とロールのリストについては、次のセクションをご覧ください。

Bigtable API を有効にする

Bigtable IAM ロールを表示して割り当てるには、プロジェクトに対して Bigtable API を有効にする必要があります。API を有効にするまで、Google Cloud コンソールに Bigtable のロールは表示されません。

API を有効にする

権限

ここでは、Bigtable でサポートされる権限を簡単に説明します。

権限を使用することで、Bigtable リソースに対して特定の操作を行えるようになります。たとえば、bigtable.instances.list 権限を持つユーザーは、プロジェクト内のすべての Bigtable インスタンスを一覧表示できます。ユーザーには権限を直接付与するのではなく、事前定義ロールまたはカスタムロールを割り当てます。これにより、権限が付与されます。

次の表は、Bigtable に関係する IAM の権限の一覧を示します。

アプリ プロファイルの権限名 説明
bigtable.appProfiles.create Bigtable アプリ プロファイルを作成します。
bigtable.appProfiles.delete Bigtable アプリ プロファイルを削除します。
bigtable.appProfiles.get Bigtable アプリ プロファイルに関する情報を取得します。
bigtable.appProfiles.list インスタンスの Bigtable アプリ プロファイルの一覧を表示します。
bigtable.appProfiles.update Bigtable アプリ プロファイルの設定を更新します。
バックアップの権限名 説明
bigtable.backups.create Bigtable バックアップを作成します。
bigtable.backups.delete Bigtable バックアップを削除します。
bigtable.backups.get Bigtable バックアップに関する情報を取得します。
bigtable.backups.getIamPolicy バックアップのアクセス制御リスト(ACL)を読み取ります。IAM ポリシーとして返します。
bigtable.backups.list Bigtable バックアップを一覧表示します。
bigtable.backups.restore Bigtable バックアップから復元します。
bigtable.backups.testIamPermissions 指定したバックアップに対する呼び出し元の権限を取得します。
bigtable.backups.read Bigtable バックアップから読み取ります。
bigtable.backups.setIamPolicy バックアップ ACL を更新します。
bigtable.backups.update Bigtable バックアップの有効期限を変更します。
クラスタの権限名 説明
bigtable.clusters.create Bigtable クラスタを作成します。
bigtable.clusters.delete Bigtable クラスタを削除します。
bigtable.clusters.get Bigtable クラスタに関する情報を取得します。
bigtable.clusters.list インスタンスの Bigtable クラスタを一覧表示します。
bigtable.clusters.update Bigtable クラスタの設定を更新します。
ホット タブレットの権限名 説明
bigtable.hotTablets.list クラスタのホット タブレットを一覧表示します。
インスタンスの権限名 説明
bigtable.instances.create Bigtable インスタンスを作成します。
bigtable.instances.createTagBinding タグを作成します。
bigtable.instances.delete Bigtable インスタンスを削除します。
bigtable.instances.deleteTagBinding タグを削除します。
bigtable.instances.get Bigtable インスタンスに関する情報を取得します。
bigtable.instances.getIamPolicy インスタンスのアクセス制御リスト(ACL)を読み取ります。IAM ポリシーとして返します。
bigtable.instances.list プロジェクトの Bigtable インスタンスを一覧表示します。
bigtable.instances.listEffectiveTagBindings インスタンスに対して有効になっているすべてのタグを一覧表示します。
bigtable.instances.listTagBindings インスタンスのタグを一覧表示します。
bigtable.instances.ping チャンネル設定のリクエストを送信します。
bigtable.instances.setIamPolicy ACL を更新します。
bigtable.instances.update Bigtable インスタンスの設定を更新します。
Key Visualizer の権限名 説明
bigtable.keyvisualizer.get テーブルに関する Key Visualizer 情報(アクセス パターンや行キーの分布に関するメタデータなど)を取得します。
bigtable.keyvisualizer.list テーブルで使用可能な Key Visualizer 情報の一覧を表示します。
ロケーションの権限名 説明
bigtable.locations.list Bigtable のロケーションを一覧表示します。
テーブルの権限名 説明
bigtable.tables.checkConsistency 複製されたテーブルが最新かどうか確認します。
bigtable.tables.create テーブルを作成します。
bigtable.tables.delete テーブルを削除します。
bigtable.tables.generateConsistencyToken 複製されたテーブルが最新かどうか確認するため、トークンを生成します。
bigtable.tables.get テーブルに関する情報を取得します。これには、列ファミリーや、各列ファミリーの個別の設定などが含まれます。
bigtable.tables.getIamPolicy テーブルの ACL を読み取り、IAM ポリシーとして返します。
bigtable.tables.list インスタンス内のテーブルを一覧表示します。
bigtable.tables.mutateRows テーブル内の行を修正するか、テーブルを切り捨てます。
bigtable.tables.readRows テーブルから行を読み取ります。これには、列ファミリーや、各列ファミリーの個別の設定など、テーブルに関する情報が含まれます。
bigtable.tables.sampleRowKeys テーブルで使用される行キーのサンプルを取得します。
bigtable.tables.setIamPolicy テーブルの ACL を更新します。
bigtable.tables.undelete 削除されたテーブルを復元します。
bigtable.tables.update テーブルの設定を更新します。これには、列ファミリーや、各列ファミリーの個別の設定などが含まれます。

事前定義ロール

各事前定義ロールには、権限が付与されます。たとえば、roles/bigtable.reader は、Bigtable インスタンス、クラスタ、テーブル、列ファミリーに加え、テーブル内のデータに関する情報への読み取り専用アクセス権を提供します。ロールを割り当てられたユーザーまたはグループは、プロジェクト内のリソースに対する操作を行えるようになります。

次の表では、Bigtable の事前定義ロールと、各ロールに関連付けられている権限の一覧を示します。

Role Permissions

(roles/bigtable.admin)

Administers all Bigtable instances within a project, including the data stored within tables. Can create new instances. Intended for project administrators.

Lowest-level resources where you can grant this role:

  • Table

bigtable.*

  • bigtable.appProfiles.create
  • bigtable.appProfiles.delete
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.appProfiles.update
  • bigtable.authorizedViews.create
  • bigtable.authorizedViews.createTagBinding
  • bigtable.authorizedViews.delete
  • bigtable.authorizedViews.deleteTagBinding
  • bigtable.authorizedViews.get
  • bigtable.authorizedViews.getIamPolicy
  • bigtable.authorizedViews.list
  • bigtable.authorizedViews.listEffectiveTags
  • bigtable.authorizedViews.listTagBindings
  • bigtable.authorizedViews.mutateRows
  • bigtable.authorizedViews.readRows
  • bigtable.authorizedViews.sampleRowKeys
  • bigtable.authorizedViews.setIamPolicy
  • bigtable.authorizedViews.update
  • bigtable.backups.create
  • bigtable.backups.delete
  • bigtable.backups.get
  • bigtable.backups.getIamPolicy
  • bigtable.backups.list
  • bigtable.backups.read
  • bigtable.backups.restore
  • bigtable.backups.setIamPolicy
  • bigtable.backups.update
  • bigtable.clusters.create
  • bigtable.clusters.delete
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.clusters.update
  • bigtable.hotTablets.list
  • bigtable.instances.create
  • bigtable.instances.createTagBinding
  • bigtable.instances.delete
  • bigtable.instances.deleteTagBinding
  • bigtable.instances.get
  • bigtable.instances.getIamPolicy
  • bigtable.instances.list
  • bigtable.instances.listEffectiveTags
  • bigtable.instances.listTagBindings
  • bigtable.instances.ping
  • bigtable.instances.setIamPolicy
  • bigtable.instances.update
  • bigtable.keyvisualizer.get
  • bigtable.keyvisualizer.list
  • bigtable.locations.list
  • bigtable.tables.checkConsistency
  • bigtable.tables.create
  • bigtable.tables.delete
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.getIamPolicy
  • bigtable.tables.list
  • bigtable.tables.mutateRows
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • bigtable.tables.setIamPolicy
  • bigtable.tables.undelete
  • bigtable.tables.update

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

resourcemanager.projects.get

(roles/bigtable.reader)

Provides read-only access to the data stored within Bigtable tables. Intended for data scientists, dashboard generators, and other data-analysis scenarios.

Lowest-level resources where you can grant this role:

  • Table

bigtable.appProfiles.get

bigtable.appProfiles.list

bigtable.authorizedViews.get

bigtable.authorizedViews.list

bigtable.authorizedViews.readRows

bigtable.authorizedViews.sampleRowKeys

bigtable.backups.get

bigtable.backups.list

bigtable.clusters.get

bigtable.clusters.list

bigtable.hotTablets.list

bigtable.instances.get

bigtable.instances.list

bigtable.instances.ping

bigtable.keyvisualizer.*

  • bigtable.keyvisualizer.get
  • bigtable.keyvisualizer.list

bigtable.locations.list

bigtable.tables.checkConsistency

bigtable.tables.generateConsistencyToken

bigtable.tables.get

bigtable.tables.list

bigtable.tables.readRows

bigtable.tables.sampleRowKeys

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

resourcemanager.projects.get

(roles/bigtable.user)

Provides read-write access to the data stored within Bigtable tables. Intended for application developers or service accounts.

Lowest-level resources where you can grant this role:

  • Table

bigtable.appProfiles.get

bigtable.appProfiles.list

bigtable.authorizedViews.get

bigtable.authorizedViews.list

bigtable.authorizedViews.mutateRows

bigtable.authorizedViews.readRows

bigtable.authorizedViews.sampleRowKeys

bigtable.backups.get

bigtable.backups.list

bigtable.clusters.get

bigtable.clusters.list

bigtable.hotTablets.list

bigtable.instances.get

bigtable.instances.list

bigtable.instances.ping

bigtable.keyvisualizer.*

  • bigtable.keyvisualizer.get
  • bigtable.keyvisualizer.list

bigtable.locations.list

bigtable.tables.checkConsistency

bigtable.tables.generateConsistencyToken

bigtable.tables.get

bigtable.tables.list

bigtable.tables.mutateRows

bigtable.tables.readRows

bigtable.tables.sampleRowKeys

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

resourcemanager.projects.get

(roles/bigtable.viewer)

Provides no data access. Intended as a minimal set of permissions to access the Google Cloud console for Bigtable.

Lowest-level resources where you can grant this role:

  • Table

bigtable.appProfiles.get

bigtable.appProfiles.list

bigtable.authorizedViews.get

bigtable.authorizedViews.list

bigtable.backups.get

bigtable.backups.list

bigtable.clusters.get

bigtable.clusters.list

bigtable.hotTablets.list

bigtable.instances.get

bigtable.instances.list

bigtable.instances.listEffectiveTags

bigtable.instances.listTagBindings

bigtable.locations.list

bigtable.tables.checkConsistency

bigtable.tables.generateConsistencyToken

bigtable.tables.get

bigtable.tables.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.timeSeries.list

resourcemanager.projects.get

カスタムロール

Bigtable の事前定義ロールがビジネス要件に合っていない場合は、指定した権限を含むカスタムロールを独自に定義できます。

カスタムロールで Google Cloud コンソールへのアクセス権をサポートする必要がある場合は、次の表に示すように、ユーザーが実行するタスクを指定し、タスクごとに必要な権限がカスタムロールに付与されていることを確認する必要があります。タスクに必要なすべての権限がカスタムロールに付与されていないときに、ユーザーがそのタスクを実行しようとした場合、Google Cloud コンソールは正しく機能しません。

Google Cloud コンソールのタスク 必要な権限
Google Cloud コンソールへの基本的なアクセス
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.locations.list
  • resourcemanager.projects.get
インスタンスまたはクラスタの作成

基本的なアクセス権に加えて、次の権限が必要です。

  • bigtable.clusters.create
  • bigtable.instances.create
インスタンスまたはクラスタの変更

基本的なアクセス権に加えて、次の権限が必要です。

  • bigtable.clusters.update
  • bigtable.instances.update
レプリケーション構成の管理

基本的なアクセス権に加えて、次の権限が必要です。

  • bigtable.appProfiles.create
  • bigtable.appProfiles.delete
  • bigtable.appProfiles.update
インスタンスまたはクラスタの削除

基本的なアクセス権に加えて、次の権限が必要です。

  • bigtable.clusters.delete
  • bigtable.instances.delete
グラフを表示したインスタンスの監視

基本的なアクセス権に加えて、次の権限が必要です。

  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
テーブルの作成と更新

基本的なアクセス権に加えて、次の権限が必要です。

  • bigtable.tables.create
  • bigtable.tables.update
バックアップの復元

基本的なアクセス権に加えて、次の権限が必要です。

  • bigtable.backups.list
  • bigtable.tables.create
  • bigtable.backups.restore

IAM の管理

このセクションでは、IAM のロールと関連する権限をプロジェクト、インスタンス、テーブル、バックアップ レベルで管理する方法について説明します。

プロジェクト レベルの IAM の管理

プロジェクト レベルでは、Google Cloud Console、IAM API、Google Cloud CLI を使用して IAM ロールを付与、変更、取り消すことができます。詳細な手順については、アクセス権の付与、変更、取り消しをご覧ください。

プロジェクトを作成したら、特定のアクセスレベルに基づいて、プロジェクト レベルの IAM ロールをユーザーに付与できます。

必要なロール

ユーザーのインスタンス レベル、テーブルレベル、またはバックアップ レベルを設定する前に、ユーザーが以下のプロジェクト レベルの IAM ロールのうち 1 つ以上を持っていることを確認してください。

  • Bigtable 閲覧者(推奨)
  • Bigtable Reader
  • Bigtable ユーザー
  • Bigtable 管理者

プロジェクト内のすべてのインスタンス、テーブル、バックアップで、ユーザーが実際に必要とする権限しか持たないプロジェクト レベルのロールを選択します。このため、ほとんどの場合は Bigtable 閲覧者のロールを付与することになります。

ユーザーにこれらのプロジェクト レベルのロールが 1 つもない場合、ユーザーは Google Cloud コンソールから Bigtable にアクセスできません。Google Cloud コンソールでは、ユーザーに代わってインスタンス、クラスタ、テーブル、バックアップに関する情報を取得できるようにするには、これらのプロジェクト レベルのロールのいずれかが必要です。

インスタンス レベルの IAM のロールの付与

インスタンス レベルでは、Bigtable の事前定義ロールの任意のロールをユーザーまたはサービス アカウントに付与できます。また、定義した任意のカスタムロールも付与できます。

事前定義ロールやカスタムロールをインスタンス レベルでユーザーまたはサービス アカウントに割り当てるには:

コンソール

  1. Google Cloud コンソールの Bigtable インスタンス ページに移動します。

    インスタンス ページに移動

  2. ロールを管理するインスタンスのチェックボックスをオンにします。情報パネルが表示されます。

  3. 情報パネルで [権限] をクリックします。

  4. [プリンシパルの追加] で、追加するユーザーまたはサービス アカウントのメールアドレスの最初の数文字を入力し、目的のユーザーまたはサービス アカウントのメールアドレスをクリックします。

  5. [ロールを選択] プルダウン リストをクリックしてから、[Bigtable] をクリックして事前定義ロールを選択するか、[カスタム] をクリックしてカスタムロールを選択します。

  6. 割り当てる各ロールの名前をクリックします。

  7. [追加] をクリックします。ユーザーまたはサービス アカウントに対して、指定したロールがインスタンス レベルで付与されます。

gcloud

  1. インスタンス ID がわからない場合は、bigtable instances list コマンドを使用して、プロジェクトのインスタンスのリストを表示します。

    gcloud bigtable instances list
    
  2. bigtable instances set-iam-policy コマンドを使用します。

    gcloud bigtable instances set-iam-policy \
    INSTANCE_ID \
    POLICY_FILE
    

    次のフィールドを入力します。

    • INSTANCE_ID: インスタンスの永続的な識別子。
    • POLICY_FILE: 有効な IAM ポリシーを含むローカル JSON または YAML ファイルへのパス。

テーブルレベルの IAM ロールの付与

テーブルレベルでは、Bigtable の事前定義ロールのうち任意のロールをユーザーまたはサービス アカウントに付与できます。また、定義した任意のカスタムロールも付与できます。

事前定義ロールやカスタムロールをテーブルレベルでユーザーまたはサービス アカウントに割り当てるには:

コンソール

  1. Google Cloud コンソールの Bigtable インスタンス ページに移動します。

    インスタンス ページに移動

  2. IAM を設定するテーブルを含むインスタンスの名前をクリックします。

  3. 左側のナビゲーション ペインで [テーブル] を選択します。

  4. ロールを管理するテーブルのチェックボックスをオンにします。情報パネルが表示されます。

  5. 情報パネルで [権限] をクリックします。

  6. [プリンシパルの追加] で、追加するユーザーまたはサービス アカウントのメールアドレスの最初の数文字を入力し、目的のユーザーまたはサービス アカウントのメールアドレスをクリックします。

  7. [ロールを選択] プルダウン リストをクリックしてから、[Bigtable] をクリックして事前定義ロールを選択するか、[カスタム] をクリックしてカスタムロールを選択します。

  8. 割り当てる各ロールの名前をクリックします。

  9. [追加] をクリックします。ユーザーまたはサービス アカウントに対して、指定したロールがテーブルレベルで付与されます。

gcloud

  1. インスタンス ID がわからない場合は、bigtable instances list コマンドを使用して、プロジェクトのインスタンスのリストを表示します。

    gcloud bigtable instances list
    
  2. インスタンスのテーブル ID がわからない場合は、bigtable instances tables list コマンドを使用して、インスタンスのテーブルのリストを表示します。

    gcloud bigtable instances tables list --instances=INSTANCE_ID
    

    次のフィールドを入力します。

    • INSTANCE_ID: インスタンスの永続的な識別子。
  3. bigtable instances tables set-iam-policy コマンドを使用します。

    gcloud bigtable instances tables set-iam-policy \TABLE_ID \
        --instance=INSTANCE_ID \
        POLICY_FILE
    

    次のフィールドを入力します。

    • TABLE_ID: テーブルの永続的な識別子。
    • INSTANCE_ID: インスタンスの永続的な識別子。
    • POLICY_FILE: 有効な IAM ポリシーを含むローカル JSON または YAML ファイルへのパス。

バックアップ レベルの IAM ロールの付与

バックアップ レベルでは、Bigtable の事前定義ロールのうち任意のロールをユーザーまたはサービス アカウントに付与できます。また、定義した任意のカスタムロールも付与できます。

事前定義ロールやカスタムロールをバックアップ レベルでユーザーまたはサービス アカウントに割り当てるには:

gcloud

  1. インスタンス ID がわからない場合は、bigtable instances list コマンドを使用して、プロジェクトのインスタンスのリストを表示します。

    gcloud bigtable instances list
    
  2. インスタンスのバックアップ ID がわからない場合は、bigtable instances backups list コマンドを使用して、インスタンス内のバックアップのリストを表示します。

    gcloud bigtable backups list --instances=INSTANCE_ID
    

    次のフィールドを入力します。

    • INSTANCE_ID: インスタンスの永続的な識別子。
  3. gcloud bigtable backups set-iam-policy コマンドを使用します。

    gcloud bigtable backups set-iam-policy BACKUP_ID \
        --instance=INSTANCE_ID \
        --cluster=CLUSTER_ID \
        POLICY_FILE
    

    次のフィールドを入力します。

    • BACKUP_ID: バックアップの永続的な識別子。
    • INSTANCE_ID: インスタンスの永続的な識別子。
    • CLUSTER_ID: クラスタの永続的な識別子。
    • POLICY_FILE: 有効な IAM ポリシーを含むローカル JSON または YAML ファイルへのパス。

IAM Conditions

IAM Conditions では、Bigtable リソースを含む一部の Google Cloud リソースに対する条件付き、属性ベースのアクセス制御を定義して適用できます。

Bigtable では、次の属性に基づいて条件付きアクセスを適用できます。

  • 日時属性: Bigtable リソースに対する一時的な(有効期限のある)アクセス権、スケジュール済みアクセス権、または期間限定のアクセス権を設定するために使用します。たとえば、指定した日付までの間、ユーザーはテーブルにアクセスできます。
  • リソース属性: リソース名、リソースタイプ、リソース サービス属性に基づいて条件付きアクセスを構成するために使用します。Bigtable では、インスタンス、クラスタ、テーブルの属性を使用して条件付きアクセスを構成できます。たとえば、特定の接頭辞で始まるテーブルに限ってテーブルを管理できるようにしたり、特定のテーブルのみにユーザーがアクセスできるようにしたりできます。

IAM の条件について詳しくは、条件の概要をご覧ください。

次のステップ

IAM の詳細について学習する。