Data Catalog は、次の機能を提供およびサポートします。
- 一元化された検索と発見。Data Catalog は、BigQuery や Pub/Sub などの Google Cloud リソースのメタデータをカタログ化します。
- リソースのタグ付け。Data Catalog は、Google Cloud リソースにメタデータ(タグ)を作成して添付できます。
このドキュメントでは、ユーザーが Data Catalog を使用して Google Cloud リソースを検索してタグ付けできるようにする Identity and Access Management(IAM)のロールについて説明します。
IAM の用語
- 権限
- 実行時にチェックされ、ユーザーが操作を実行したり、Google Cloud リソースにアクセスしたりできるようになります。ユーザーには直接権限が付与されるのではなく、権限を含むロールが付与されます。
- 役割
- ロールは、事前定義された権限のコレクションです。権限のカスタム コレクションで構成されるカスタムロールも許可される場合があります。
Google Cloud リソースの検索
Google Cloud リソースを検索、発見、または表示する前に、Data Catalog は、BigQuery、Pub/Sub、またはその他のソースシステムがリソースにアクセスするために必要なメタデータ読み取り権限を持つ IAM ロールがユーザーに付与されていることを確認します。
例: Data Catalog は、BigQuery テーブルのメタデータを表示する前に、ユーザーに bigquery.tables.get permission のロールが付与されていることを確認します。
次の表は、BigQuery および Pub/Sub の権限と、ユーザーが Data Catalog を使用して、リストされた Google Cloud リソースを検索するために必要な関連するロールを示しています。
| リソース | 権限 | 役割 |
|---|---|---|
| BigQuery データセット、テーブル、モデル | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadata |
roles/bigquery.metadataViewer Data Catalog 閲覧者のロールもご覧ください |
| Pub/Sub トピック | pubsub.topics.get |
roles/pubsub.viewer Data Catalog 閲覧者のロールもご覧ください |
Data Catalog 閲覧者のロール
Google Cloud リソースへのアクセスを簡単に取得できるように、Data Catalog には、カタログ化されたすべての Google Cloud リソースに対するメタデータ読み取り権限を備えた Data Catalog 閲覧者のロール(roles/datacatalog.viewer)が用意されています。このロールは、Data Catalog のタグ テンプレートとタグを表示する権限も付与します。今後、このロールは、新しいタイプのリソースが Data Catalog で検索可能になったときに追加の権限を付与するように拡張される可能性があります。
Google Cloud リソースにタグを添付する
Data Catalog を使用すると、ユーザーはタグを添付して、Google Cloud リソースのメタデータを拡張できます。リソースに添付できる 1 つ以上のタグは、タグ テンプレートで定義されています。ユーザーがタグ テンプレートを使用してタグを Google Cloud リソースに添付しようとすると、Data Catalog は、ユーザーにタグ テンプレートを使用する権限とリソースメタデータを更新する権限が付与されていることを確認します。以下の表に示すように、権限は IAM ロールを介して付与されます。
各行には、リソースのタグ付けに必要な権限のみがリストされています。対応するロールが追加の権限を付与する場合があります。各ロールをクリックして、関連付けられているすべての権限を表示します。
| リソース | 権限 | 役割 |
|---|---|---|
| BigQuery データセット、テーブル、モデル | datacatalog.tagTemplates.use およびbigquery.datasets.updateTagbigquery.tables.updateTagbigquery.models.updateTag |
roles/datacatalog.tagTemplateUser roles/bigquery.dataEditor |
| Pub/Sub トピック | datacatalog.tagTemplates.usepubsub.topics.updateTag |
roles/datacatalog.tagTemplateUser roles/pubsub.editor |
Data Catalog TagTemplate 作成者のロール
Data Catalog TagTemplate 作成者のロールにより、ユーザーはタグ テンプレートを作成できます。
Google Cloud リソースのタグを表示する
Data Catalog を使用すると、ユーザーは、メタデータを表示するリソースに対する権限と、対応するタグを表示するタグ テンプレートに対する権限をユーザーが持っている場合にのみ、Google Cloud リソースに添付されたタグを表示できます。以下の表で説明するように、権限は IAM ロールを介して付与されます。
各行には、タグを表示するために必要な権限のみが表示されますが、対応するロールは追加の権限を付与できます。各ロールをクリックして、関連付けられているすべての権限を表示します。
| リソース | 権限 | 役割 |
|---|---|---|
| BigQuery データセット、テーブル、モデル | datacatalog.tagTemplates.getTag およびbigquery.datasets.getbigquery.tables.getbigquery.models.getMetadata |
roles/datacatalog.tagTemplateViewer roles/bigquery.metadataViewer |
| Pub/Sub トピック | datacatalog.tagTemplates.getTagpubsub.topics.get |
roles/datacatalog.tagTemplateViewer roles/pubsub.viewer |