Data Catalog リソース プロジェクト

Data Catalog を使用するには、 Google Cloud プロジェクトで、Data Catalog で作成するリソース、または API を使用して他の Google Cloud システムにアクセスするリソースを含む Data Catalog API を有効にする必要があります。このプロジェクトを Data Catalog の「リソース プロジェクト」と呼びます。

一般的なケースでは、プロジェクトが 1 つしかない場合、そのプロジェクトで Data Catalog API を有効にするだけで、そのプロジェクトに含まれているすべてのリソースにアクセスできます。Data Catalog クイックスタートでは、Data Catalog API が有効で、Data Catalog タグ テンプレートとタグだけでなく、アクセスする BigQuery テーブルを含むプロジェクトの作成例があります。

複数のプロジェクトでタグ テンプレートを使用する

タグ テンプレートを含め、 Google Cloud のすべてがプロジェクトに存在します。ただし、あるプロジェクトのタグ テンプレートを使用して別のプロジェクトでタグを作成できますが、その場合、もう一方のプロジェクトでテンプレートを使用できるよう許可する必要があります。これを行うには、TagTemplate OwnerCreatorUserViewer の IAM ロールを使用します。

たとえば、プロジェクト A がプロジェクト B が所有するサービス アカウントに TagTemplate User のロールを付与した場合、プロジェクト B はそのテンプレートを使用してタグを作成できます。プロジェクト A は同じサービス アカウントに、Tag Editor ロールを使用して作成されたタグを変更することもできます。

プロジェクト A がプロジェクト B を認可しない場合、プロジェクト B は独自のデータ リソースにプロジェクト A のタグ テンプレートを使用してタグ付けすることはできません。独自のテンプレートを作成する必要があります。

おすすめの方法: 複数のプロジェクトに関連する場合は、中央のプロジェクトでテンプレートを作成します。また、データ ガバナンス チームが共有タグ テンプレートを所有し、組織を代表して管理する必要もあります。

Data Catalog リソース プロジェクトの特定

次の表に、Data Catalog API と、Data Catalog API を有効にする必要がある関連リソース プロジェクトを示します。

Data Catalog API リソース プロジェクト
get/lookup/search サービス アカウント プロジェクト HTTP/gRPC ヘッダーに X-Goog-User-Project が指定されている場合は、サービス アカウントの代わりにユーザー プロジェクトの Data Catalog API を有効にして、X-Goog-User-Project に対する割り当てと請求を有効にします。
create/update/delete API リクエストのリソース パラメータ/project-id/ で識別されるプロジェクト 例外: 次の行の createTag/updateTag/deleteTag をご覧ください。
createTag/updateTag/deleteTag タグ テンプレート コンテナ プロジェクト テンプレートが作成されたときに、タグ テンプレート コンテナ プロジェクトで Data Catalog API が有効になっているため、これらの API を呼び出すために特に対応する必要はありません。注: タグparent パラメータで識別されるプロジェクトと、タグの作成に使用されるタグ テンプレートは同じ組織のものである必要があります。

注:

  • service account project: アプリケーション コードを認証するためにサービス アカウント認証情報を生成したプロジェクト。

  • resource parameter: リクエストに関連付けられたリソースを識別する API リクエストで渡されるパラメータ(たとえば、tagTemplates.create parent パラメータの project-id を参照してください)。

次のステップ