Data Catalog は、次の機能を提供およびサポートします。
- 一元化された検索と発見。Data Catalog は、BigQuery、Pub/Sub、Dataproc Metastore などの Google Cloud リソースのメタデータをカタログ化します。
- リソースのタグ付け。Data Catalog は、Google Cloud リソースに対するメタデータ(タグ)を作成、アタッチできます。
このドキュメントでは、ユーザーが Data Catalog を使用して Google Cloud リソースを検索してタグ付けできるようにする Identity and Access Management(IAM)のロールについて説明します。
IAM の用語
- 権限
- 実行時にチェックされて、ユーザーによる操作や Google Cloud リソースへのアクセスが許可されます。ユーザーには権限を直接付与するのではなく、権限を含むロールが付与されます。
- 役割
- ロールは、事前定義された権限のコレクションです。権限のカスタム コレクションで構成されるカスタムロールも許可される場合があります。
Google Cloud リソースの検索
Google Cloud リソースを検索、検出、表示する前に、Data Catalog は BigQuery、Pub/Sub、Dataproc Metastore などのソースシステムがリソースにアクセスするために必要なメタデータの読み取り権限を持つ IAM ロールがユーザーに付与されていることを確認します。
例: Data Catalog は、BigQuery テーブルのメタデータを表示する前に、ユーザーに bigquery.tables.get permission のロールが付与されていることを確認します。
次の表は、BigQuery および Pub/Sub の権限と、ユーザーが Data Catalog を使用して、リストされた Google Cloud リソースを検索するために必要な関連するロールを示しています。
| リソース | 権限 | 役割 |
|---|---|---|
| BigQuery のデータセット、テーブル、モデル、ルーティン、接続 | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/bigquery.metadataViewer roles/bigquery.connectionUser Data Catalog 閲覧者のロールもご覧ください |
| Pub/Sub トピック | pubsub.topics.get |
roles/pubsub.viewer Data Catalog 閲覧者のロールもご覧ください |
Data Catalog 閲覧者のロール
Google Cloud リソースへのアクセスを簡単に取得できるように、Data Catalog には、カタログ化されたすべての Google Cloud リソースに対するメタデータ読み取り権限を備えた Data Catalog 閲覧者のロール(roles/datacatalog.viewer)が用意されています。このロールは、Data Catalog のタグ テンプレートとタグを表示する権限も付与します。今後、このロールは、新しいタイプのリソースが Data Catalog で検索可能になったときに追加の権限を付与するように拡張される可能性があります。
Google Cloud リソースにタグを添付する
Data Catalog を使用すると、ユーザーはタグを添付して、Google Cloud リソースのメタデータを拡張できます。リソースに添付できる 1 つ以上のタグは、タグ テンプレートで定義されています。ユーザーがタグ テンプレートを使用してタグを Google Cloud リソースに添付しようとすると、Data Catalog は、ユーザーにタグ テンプレートを使用する権限とリソースメタデータを更新する権限が付与されていることを確認します。以下の表に示すように、権限は IAM ロールを介して付与されます。
各行には、リソースにタグを付けるために必要な権限のみが列挙されています。対応するロールは、追加の権限を付与する場合があります。各ロールをクリックして、関連付けられているすべての権限を表示します。
| リソース | 権限 | 役割 |
|---|---|---|
| BigQuery のデータセット、テーブル、モデル、ルーティン、接続 | datacatalog.tagTemplates.useおよび bigquery.datasets.updateTagbigquery.tables.updateTagbigquery.models.updateTagbigquery.routines.updateTagbigquery.connections.updateTag |
roles/datacatalog.tagTemplateUser roles/datacatalog.tagEditor roles/bigquery.dataEditor |
| Pub/Sub トピック | datacatalog.tagTemplates.usepubsub.topics.updateTag |
roles/datacatalog.tagTemplateUser roles/datacatalog.tagEditor roles/pubsub.editor |
Data Catalog TagTemplate 作成者のロール
Data Catalog TagTemplate 作成者のロールにより、ユーザーはタグ テンプレートを作成できます。
Google Cloud リソース上のタグの表示
Data Catalog を使用すると、ユーザーは、メタデータを表示するリソースに対する権限と、対応するタグを表示するタグ テンプレートに対する権限をユーザーが持っている場合にのみ、Google Cloud リソースに添付されたタグを表示できます。以下の表で説明するように、権限は IAM ロールを介して付与されます。
各行には、タグを表示するために必要な権限のみが表示されますが、対応するロールは追加の権限を付与できます。各ロールをクリックして、関連付けられているすべての権限を表示します。
| リソース | 権限 | 役割 |
|---|---|---|
| BigQuery のデータセット、テーブル、モデル、ルーティン、接続 | datacatalog.tagTemplates.getTag およびbigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/datacatalog.tagTemplateViewer roles/bigquery.metadataViewer roles/bigquery.connectionUser |
| Pub/Sub トピック | datacatalog.tagTemplates.getTagpubsub.topics.get |
roles/datacatalog.tagTemplateViewer roles/pubsub.viewer |