承認済みビューの作成と管理

このドキュメントでは、Google Cloud CLI を使用して承認済みビューでその他の管理オペレーションを定義、作成、実行する方法について説明します。このドキュメントを読む前に、承認済みビューの概要をよく理解しておく必要があります。

必要なロール

承認済みビューに対して管理オペレーションを実行するために必要な権限を取得するには、基盤となるテーブルに対する Bigtable 管理者roles/bigtable.admin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。

この事前定義ロールには、承認済みビューに対して管理オペレーションを実行するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

承認済みビューに対して管理オペレーションを実行するには、次の権限が必要です。

  • bigtable.authorizedViews.get
  • bigtable.authorizedViews.list
  • bigtable.authorizedViews.create
  • bigtable.authorizedViews.update
  • bigtable.authorizedViews.delete
  • bigtable.authorizedViews.getIamPolicy
  • bigtable.authorizedViews.setIamPolicy
  • bigtable.authorizedViews.readRows
  • bigtable.authorizedViews.sampleRowKeys
  • bigtable.authorizedViews.mutateRows

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

承認済みビューレベルで Bigtable の IAM ロールを管理する方法については、承認済みビューレベルの IAM の管理をご覧ください。

承認済みビューを作成する

承認済みビューを作成する場合は、そのビューに対して実行されるクエリについて検討します。承認済みビューに送信される読み取り、書き込み、削除リクエストでは、承認済みビュー内のデータのみを参照する必要があります。つまり、たとえば、承認済みビューにないテーブル内の列を含む行の読み取り、書き込み、削除を試行すると、リクエストは失敗することを意味します。

承認済みビューにない列がテーブルに追加されたことで承認済みビューへのデータ リクエストが失敗する状況を回避するには、列ファミリーに空の列修飾子接頭辞の接頭辞 "" を指定します。

承認済みビューごとに、最大 100 個の定義パラメータを指定できます。

gcloud

bigtable authorized-views create コマンドを実行します。

gcloud bigtable authorized-views create AUTHORIZED_VIEW_ID \
  --instance=INSTANCE_ID \
  --table=TABLE_ID \
  --definition-file=DEFINITION_FILE_PATH

次のように置き換えます。

  • AUTHORIZED_VIEW_ID: テーブルでまだ使用されていない承認済みビューの永続的な識別子
  • INSTANCE_ID: テーブルを含むインスタンスの永続的な識別子
  • TABLE_ID: 承認済みビューを作成するテーブルの永続的な識別子
  • DEFINITION_FILE_PATH: 承認済みビューの有効な JSON 形式の表現へのパス。正しくフォーマットされた定義ファイルの例については、定義ファイルの例をご覧ください。

定義ファイルを指定せずにコマンドを実行することもできます。この場合、gcloud CLI によってエディタが開き、値の入力を求められます。

承認済みビューが作成されたことを確認するには、テーブルの承認済みビューのリストを取得します。

Java

Bigtable 用のクライアント ライブラリをインストールして使用する方法については、Bigtable クライアント ライブラリをご覧ください。

Bigtable で認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、クライアント ライブラリの認証を設定するをご覧ください。

try {
  CreateAuthorizedViewRequest request =
      CreateAuthorizedViewRequest.of(tableId, authorizedViewId)
          .setAuthorizedViewType(
              SubsetView.create()
                  .addRowPrefix("")
                  .setFamilySubsets(
                      COLUMN_FAMILY,
                      FamilySubsets.create().addQualifierPrefix(COLUMN_QUALIFIER_NAME)));
  AuthorizedView authorizedView = adminClient.createAuthorizedView(request);
  System.out.printf("AuthorizedView: %s created successfully%n", authorizedView.getId());
} catch (NotFoundException e) {
  System.err.println(
      "Failed to create an authorized view from a non-existent table: " + e.getMessage());
}

承認済みビューを変更する

gcloud

bigtable authorized-views update コマンドを使用して、承認済みビューを変更します。

gcloud bigtable authorized-views update AUTHORIZED_VIEW_ID \
  --instance=INSTANCE_ID \
  --table=TABLE_ID \
  --definition-file=DEFINITION_FILE_PATH

次のように置き換えます。

  • AUTHORIZED_VIEW_ID: 承認済みビューの永続的な識別子
  • INSTANCE_ID: インスタンスの永続的な識別子
  • TABLE_ID: ソーステーブルの永続的な識別子
  • DEFINITION_FILE_PATH: 承認済みビューの有効な JSON 形式の表現へのパス。正しくフォーマットされた定義ファイルの例については、定義ファイルの例をご覧ください。

定義ファイルを指定せずにコマンドを実行することもできます。この場合、gcloud CLI によってエディタが開き、値の入力を求められます。

省略可: 現在の承認済みビューの構造と、更新が commit された後の違いを示す確認プロンプトが gcloud CLI に表示されないようにするには、コマンドに --no-interactive フラグを追加します。

Java

Bigtable 用のクライアント ライブラリをインストールして使用する方法については、Bigtable クライアント ライブラリをご覧ください。

Bigtable で認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、クライアント ライブラリの認証を設定するをご覧ください。

try {
  // Update to an authorized view permitting everything.
  UpdateAuthorizedViewRequest request =
      UpdateAuthorizedViewRequest.of(tableId, authorizedViewId)
          .setAuthorizedViewType(
              SubsetView.create()
                  .addRowPrefix("")
                  .setFamilySubsets(
                      COLUMN_FAMILY, FamilySubsets.create().addQualifierPrefix("")));
  AuthorizedView authorizedView = adminClient.updateAuthorizedView(request);
  System.out.printf("AuthorizedView: %s updated successfully%n", authorizedView.getId());
} catch (NotFoundException e) {
  System.err.println("Failed to modify a non-existent authorized view: " + e.getMessage());
}

削除保護を有効または無効にする

承認済みビューに対する削除保護を有効にするには、update コマンドに --deletion-protection を追加します。

削除保護を無効にするには、update コマンドに no-deletion-protection を追加します。

承認済みビューを削除する

テーブルを削除すると、そのテーブルのすべての承認済みビューも削除されます。

承認済みビューを削除すると、削除を取り消すことはできません。ただし、テーブルを削除してからテーブルの削除を取り消すと、テーブルのすべての承認済みビューがテーブルとともに復元されます。その後、承認済みビューとテーブルの IAM を再構成する必要があります。詳しくは、テーブルの削除を取り消すをご覧ください。

gcloud

bigtable instances tables authorized-views delete コマンドを使用して、承認済みビューを削除します。

gcloud bigtable authorized-views delete AUTHORIZED_VIEW_ID \
  --instance=INSTANCE_ID \
  --table=TABLE_ID

次のように置き換えます。

  • AUTHORIZED_VIEW_ID: 承認済みビューの永続的な識別子
  • INSTANCE_ID: インスタンスの永続的な識別子
  • TABLE_ID: ソーステーブルの永続的な識別子

省略可: 削除の確認またはキャンセルを求める確認プロンプトが gcloud CLI に表示されないようにするには、コマンドに --nointeractive フラグを追加します。

Java

Bigtable 用のクライアント ライブラリをインストールして使用する方法については、Bigtable クライアント ライブラリをご覧ください。

Bigtable で認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、クライアント ライブラリの認証を設定するをご覧ください。

try {
  adminClient.deleteAuthorizedView(tableId, authorizedViewId);
  System.out.printf("AuthorizedView: %s deleted successfully%n", authorizedViewId);
} catch (NotFoundException e) {
  System.err.println("Failed to delete a non-existent authorized view: " + e.getMessage());
}

テーブルの承認済みビューのリストを取得する

gcloud

bigtable authorized-views list コマンドを実行します。

gcloud bigtable authorized-views list \
  --instance=INSTANCE_ID \
  --table=TABLE_ID

次のように置き換えます。

  • INSTANCE_ID: インスタンスの永続的な識別子
  • TABLE_ID: テーブルの永続的な識別子

Java

Bigtable 用のクライアント ライブラリをインストールして使用する方法については、Bigtable クライアント ライブラリをご覧ください。

Bigtable で認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、クライアント ライブラリの認証を設定するをご覧ください。

List<String> authorizedViewIds = new ArrayList<>();
try {
  authorizedViewIds = adminClient.listAuthorizedViews(tableId);
  for (String authorizedViewId : authorizedViewIds) {
    System.out.println(authorizedViewId);
  }
} catch (NotFoundException e) {
  System.err.println(
      "Failed to list authorized views from a non-existent table: " + e.getMessage());
}

承認済みビューの詳細を表示する

gcloud

承認済みビューの詳細を取得するには、bigtable instances tables authorized-views describe コマンドを実行します。

gcloud bigtable authorized-views describe \
–-instance=INSTANCE_ID \
–-table=TABLE_ID \
–-view=AUTHORIZED_VIEW_ID

次のように置き換えます。

  • INSTANCE_ID: インスタンスの永続的な識別子
  • TABLE_ID: テーブルの永続的な識別子
  • AUTHORIZED_VIEW_ID: 承認済みビューの永続的な識別子

Java

Bigtable 用のクライアント ライブラリをインストールして使用する方法については、Bigtable クライアント ライブラリをご覧ください。

Bigtable で認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、クライアント ライブラリの認証を設定するをご覧ください。

AuthorizedView authorizedView = null;
try {
  authorizedView = adminClient.getAuthorizedView(tableId, authorizedViewId);
  SubsetView subsetView = (SubsetView) authorizedView.getAuthorizedViewType();

  for (ByteString rowPrefix : subsetView.getRowPrefixes()) {
    System.out.printf("Row Prefix: %s%n", rowPrefix.toStringUtf8());
  }
  for (Map.Entry<String, FamilySubsets> entry : subsetView.getFamilySubsets().entrySet()) {
    for (ByteString qualifierPrefix : entry.getValue().getQualifierPrefixes()) {
      System.out.printf(
          "Column Family: %s, Qualifier Prefix: %s%n",
          entry.getKey(), qualifierPrefix.toStringUtf8());
    }
    for (ByteString qualifier : entry.getValue().getQualifiers()) {
      System.out.printf(
          "Column Family: %s, Qualifier: %s%n", entry.getKey(), qualifier.toStringUtf8());
    }
  }
} catch (NotFoundException e) {
  System.err.println(
      "Failed to retrieve metadata from a non-existent authorized view: " + e.getMessage());
}

次のステップ