BigQuery에 Dataform 액세스 권한 부여

이 문서에서는 BigQuery에서 워크플로를 실행하는 데 필요한 Identity and Access Management(IAM) 역할을 Dataform에 사용되는 서비스 계정에 부여하는 방법을 보여줍니다.

Dataform의 서비스 계정 정보

첫 번째 Dataform 저장소를 만들면 Dataform에서 기본 서비스 계정을 자동으로 생성합니다. Dataform은 기본 서비스 계정을 사용하여 사용자 대신 BigQuery와 상호작용합니다.

기본 Dataform 서비스 계정 ID의 형식은 다음과 같습니다.

service-YOUR_PROJECT_NUMBER@gcp-sa-dataform.iam.gserviceaccount.com

YOUR_PROJECT_NUMBER를 Google Cloud 프로젝트의 숫자 ID로 바꿉니다. Google Cloud 프로젝트 ID는Google Cloud 콘솔 대시보드에서 찾을 수 있습니다. 자세한 내용은 프로젝트 식별을 참조하세요.

기본 Dataform 서비스 계정 외에도 다른 서비스 계정을 사용하여 대신 워크플로를 실행할 수 있습니다. 기본이 아닌 서비스 계정을 구성할 수 있습니다.

• 저장소 수준에서 지정된 저장소의 모든 워크플로를 실행합니다.

• 각 워크플로 구성에 대해 개별적으로 실행합니다.

Dataform 저장소 또는 워크플로 구성을 만들 때 액세스 권한이 있는 Google Cloud 프로젝트와 연결된 모든 서비스 계정을 선택할 수 있습니다. Dataform 리소스와 연결된 모든 서비스 계정에 필요한 권한을 구성해야 합니다.

BigQuery에서 워크플로를 실행하려면 Dataform에 사용된 기본 및 기본 이외의 서비스 계정에 다음 BigQuery IAM 역할이 필요합니다.

• Dataform에 읽기 및 쓰기 액세스 권한이 모두 필요한 프로젝트에 대한 BigQuery 데이터 편집자. 여기에는 일반적으로 Dataform 저장소를 호스팅하는 프로젝트가 포함됩니다.
• Dataform에 읽기 전용 액세스 권한이 필요한 프로젝트에 대한 BigQuery 데이터 뷰어.
• Dataform 저장소를 호스팅하는 프로젝트에 대한 BigQuery 작업 사용자.
• BigQuery 데이터 세트를 쿼리하려는 경우 BigQuery 데이터 소유자

또한 Dataform에서 사용할 기본 이외의 서비스 계정에 대한 서비스 계정 토큰 생성자(roles/iam.serviceAccountTokenCreator) 액세스 권한을 기본 Dataform 서비스 계정에 부여해야 합니다.

시작하기 전에

1. Google Cloud 콘솔에서 Dataform 페이지로 이동합니다.

   Dataform 페이지로 이동

2. 저장소를 선택하거나 만듭니다.

3. VPC 서비스 제어를 사용하는 경우 Dataform을 사용하려면 VPC 서비스 제어 경계에서 BigQuery 리소스를 제외하세요. Dataform은 현재 VPC 서비스 제어를 지원하지 않습니다.

   또는 Dataform CLI를 사용하여 로컬에서 SQL 워크플로를 개발할 수 있습니다.

Dataform에서 사용되는 서비스 계정에 필요한 BigQuery 역할 부여

기본 Dataform 서비스 계정 또는 Dataform에서 사용할 기본 이외의 서비스 계정에 필요한 BigQuery IAM 역할을 부여하려면 다음 단계를 따르세요.

1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

   IAM 페이지로 이동

2. 액세스 권한 부여를 클릭합니다.

3. 새 주 구성원 필드에 서비스 계정 ID를 입력합니다.

4. 역할 선택 드롭다운 목록에서 BigQuery 작업 사용자 역할을 선택합니다.

5. 다른 역할 추가를 클릭한 다음 역할 선택 드롭다운 목록에서 BigQuery 데이터 편집자 역할을 선택합니다.

6. 다른 역할 추가를 클릭한 다음 역할 선택 드롭다운 목록에서 BigQuery 데이터 뷰어 역할을 선택합니다.

7. 저장을 클릭합니다.

기본 이외의 서비스 계정에 토큰 생성 액세스 권한 부여

Dataform에서 기본 이외의 서비스 계정을 사용하려면 기본 Dataform 서비스 계정이 기본 이외의 서비스 계정에 액세스할 수 있어야 합니다. 이 액세스 권한을 부여하려면 서비스 계정 토큰 생성자 역할이 있는 기본 이외의 서비스 계정에 대한 주 구성원으로 기본 Dataform 서비스 계정을 추가해야 합니다.

기본 Dataform 서비스 계정에 기본 이외의 서비스 계정에 대한 액세스 권한을 부여하려면 다음 단계를 따르세요.

1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

   IAM 페이지로 이동

2. 서비스 계정을 클릭하고 서비스 계정을 선택합니다.

3. 권한 > 액세스 권한 부여를 클릭합니다.

4. 새 주 구성원 필드에 기본 Dataform 서비스 계정 ID를 입력합니다.

5. 역할 선택 드롭다운 목록에서 서비스 계정 토큰 생성자 역할을 선택합니다.

6. 저장을 클릭합니다.

다음 단계

• BigQuery IAM 역할 및 권한에 대한 자세한 내용은 IAM으로 액세스 제어를 참조하세요.
• BigQuery 데이터 세트에 대한 세분화된 권한 부여에 대한 자세한 내용은 데이터 세트에 대한 액세스 제어를 참조하세요.
• BigQuery 테이블에 대한 세분화된 권한 부여에 대한 자세한 내용은 테이블 및 뷰에 대한 액세스 제어를 참조하세요.
• Dataform에서 실행을 트리거하는 방법은 실행 트리거를 참조하세요.