Dataform 및 BigQuery는 액세스 제어에 IAM을 사용합니다. IAM의 Dataform 역할과 권한에 대한 자세한 내용은 IAM으로 액세스 제어를 참조하세요.
Dataform은 테이블이나 뷰를 실행할 때 BigQuery에서 리소스를 만듭니다. Dataform에서 개발하는 동안 개별 테이블과 뷰에 BigQuery 역할을 부여하여 실행 후 BigQuery에서 액세스를 제어할 수 있습니다.
리소스에 대한 액세스 권한 부여 및 취소에 대한 자세한 내용은 리소스에 대한 액세스 권한 부여를 참조하세요.
시작하기 전에
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the BigQuery and Dataform APIs.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the BigQuery and Dataform APIs.
테이블이나 뷰에 BigQuery 역할 부여
선택한 테이블 또는 뷰의 .sqlx 정의 파일에 GRANT DCL 문이 있는 post_operations 블록을 추가하여 Dataform에서 테이블 또는 뷰에 BigQuery 역할을 부여할 수 있습니다.
선택한 테이블이나 뷰에 BigQuery 역할을 부여하려면 다음 단계를 수행합니다.
Google Cloud 콘솔에서 Dataform 페이지로 이동합니다.
저장소를 선택한 후 작업공간을 선택합니다.
파일 창에서
definitions/디렉터리를 펼칩니다.액세스 권한을 부여하려는 테이블이나 뷰의
.sqlx정의 파일을 선택합니다.파일에 다음 코드 스니펫을 입력합니다.
post_operations { GRANT "ROLE_LIST" ON "RESOURCE_TYPE" ${self()} TO "USER_LIST" }다음을 바꿉니다.
ROLE_LIST: 부여하려는 BigQuery 역할 또는 쉼표로 구분된 BigQuery 역할 목록
RESOURCE_TYPE:
TABLE또는VIEWUSER_LIST: 역할이 부여된 사용자를 쉼표로 구분한 목록
유효한 형식 목록은 user_list를 참조하세요.
(선택사항): 형식을 클릭합니다.
테이블 또는 뷰를 실행합니다.
증분 테이블에 대한 액세스 권한을 부여한 경우 첫 실행 후 테이블 정의 파일에서
GRANT문을 삭제하세요.
다음 코드 샘플에서는 사용자에게 부여된 테이블에 대한 BigQuery 뷰어 역할을 보여줍니다.
config { type: "table" }
SELECT ...
post_operations {
GRANT `roles/bigquery.dataViewer`
ON TABLE ${self()}
TO "user:222larabrown@gmail.com"
}
테이블이나 뷰에서 BigQuery 역할 취소
REVOKE DCL 문이 있는 post_operations 블록을 테이블 또는 뷰의 .sqlx 정의 파일에 추가하여 테이블 또는 뷰에서 BigQuery 역할을 취소할 수 있습니다.
선택한 테이블이나 뷰에서 BigQuery 역할을 취소하려면 다음 단계를 수행합니다.
Google Cloud 콘솔에서 Dataform 페이지로 이동합니다.
저장소를 선택한 후 작업공간을 선택합니다.
파일 창에서
definitions/디렉터리를 펼칩니다.액세스 권한을 취소하려는 테이블이나 뷰의
.sqlx정의 파일을 선택합니다.post_operations블록에 다음REVOKE문을 입력합니다.REVOKE "ROLE_LIST" ON "RESOURCE_TYPE" ${self()} TO "USER_LIST"다음을 바꿉니다.
- ROLE_LIST: 취소하려는 BigQuery 역할 또는 쉼표로 구분된 BigQuery 역할 목록
- RESOURCE_TYPE:
TABLE또는VIEW - USER_LIST: 역할을 취소할 사용자를 쉼표로 구분한 목록. 유효한 형식 목록은 user_list를 참조하세요.
파일의
GRANT문에서 부여된 액세스 권한을 취소하려면GRANT문을REVOKE문으로 바꿉니다.(선택사항): 형식을 클릭합니다.
테이블 또는 뷰를 실행합니다.
증분 테이블에 대한 액세스 권한을 취소한 경우 첫 실행 후 테이블 정의 파일에서
REVOKE문을 삭제하세요.
다음 코드 샘플에서는 사용자가 취소한 테이블에 대한 BigQuery 뷰어 역할을 보여줍니다.
config { type: "table" }
SELECT ...
post_operations {
REVOKE `roles/bigquery.dataViewer`
ON TABLE ${self()}
FROM "user:222larabrown@gmail.com"
}
테이블과 뷰의 BigQuery 역할 일괄 관리
단일 위치에서 개별 테이블 및 뷰에 대한 BigQuery 액세스를 제어하려면 GRANT 및 REVOKE DCL 문으로 전용 type: "operations" 파일을 생성할 수 있습니다.
단일 type: "operations" 파일에서 BigQuery 테이블 액세스를 관리하려면 다음 단계를 수행합니다.
Google Cloud 콘솔에서 Dataform 페이지로 이동합니다.
저장소를 선택한 후 작업공간을 선택합니다.
파일 창에서
definitions/옆에 있는
더보기 메뉴를 클릭합니다.파일 만들기를 클릭합니다.
파일 경로 추가 필드에
definitions/를 입력하고 파일 이름 다음에.sqlx를 입력합니다. 예를 들면definitions/table-access.sqlx입니다.파일 이름에는 숫자, 문자, 하이픈, 밑줄만 포함할 수 있습니다.
파일 만들기를 클릭합니다.
파일 창에서
definitions/디렉터리를 펼치고 새로 만든 파일을 선택합니다.파일에 다음 코드 스니펫을 입력합니다.
config { type: "operations" } GRANT "ROLE_LIST" ON RESOURCE_TYPE RESOURCE_NAME TO "USER_LIST" REVOKE "ROLE_LIST" ON { "<var>" }}RESOURCE_TYPE RESOURCE_NAME TO "USER_LIST"다음을 바꿉니다.
- ROLE_LIST: 부여하거나 취소할 BigQuery 역할 또는 쉼표로 구분된 BigQuery 역할 목록
- RESOURCE_TYPE:
TABLE또는VIEW - RESOURCE_NAME: 테이블 또는 뷰의 이름
- USER_LIST: 역할을 부여하거나 취소할 사용자 목록을 쉼표로 구분한 목록. 유효한 형식 목록은 user_list를 참조하세요.
필요에 따라
GRANT및REVOKE문을 추가합니다.파일의
GRANT문에서 부여된 액세스 권한을 취소하려면GRANT문을REVOKE문으로 바꿉니다.REVOKE문을 추가하지 않고GRANT문을 삭제하면 액세스 권한이 취소되지 않습니다.
(선택사항): 형식을 클릭합니다.
각 업데이트 후에 파일을 실행합니다.
- 증분 테이블에 대한 액세스 권한을 부여하거나 취소한 경우 문을 처음 실행한 후 파일에서
GRANT또는REVOKE문을 삭제하세요.
- 증분 테이블에 대한 액세스 권한을 부여하거나 취소한 경우 문을 처음 실행한 후 파일에서
다음 단계
- IAM에 대한 자세한 내용은 IAM 개요 참조하기
- 역할 및 권한에 대한 자세한 내용은 역할 이해 참조하기
- 리소스 액세스 관리에 대한 자세한 내용은 프로젝트, 폴더, 조직 액세스 관리 참조하기