Dataplex の権限では、Dataplex のサービス、リソース、オペレーションに対して特定のアクションを実行できます。たとえば、dataplex.datascans.create 権限を持つユーザーは、プロジェクトで Dataplex データスキャンを作成できます。ユーザーには権限を直接付与するのではなく、ロールを割り当てます。ロールには、1 つ以上の権限が組み込まれています。
このドキュメントでは、Dataplex に関連する IAM 権限について説明します。事前定義された Dataplex ロールとそのロールに含まれる権限の詳細については、Dataplex IAM ロールをご覧ください。
IAM とその機能の詳細については、IAM のドキュメントをご覧ください。
IAM ポリシーの設定と取得の権限
次の表に、IAM 権限の取得と設定に必要な権限を示します。
| リソース | API メソッド | IAM 権限 |
|---|---|---|
| エントリタイプ | GetIamPolicy | dataplex.entryTypes.getIamPolicy |
| エントリタイプ | SetIamPolicy | dataplex.entryTypes.setIamPolicy |
| アスペクト タイプ | GetIamPolicy | dataplex.aspectTypes.getIamPolicy |
| アスペクト タイプ | SetIamPolicy | dataplex.aspectTypes.setIamPolicy |
| エントリ グループ | GetIamPolicy | dataplex.entryGroups.getIamPolicy |
| エントリ グループ | SetIamPolicy | dataplex.entryGroups.setIamPolicy |
| Lakes | GetIamPolicy | dataplex.lakes.getIamPolicy |
| Lakes | SetIamPolicy | dataplex.lakes.setIamPolicy |
Dataplex Catalog の権限
エントリタイプ、アスペクト タイプ、エントリ グループ、エントリに対してオペレーションを実行するために必要な権限のセットは、リソースがシステム リソースかカスタム リソースかによって異なります。システム リソースは Dataplex によって定義され、カスタム リソースはユーザーまたは組織によって定義されます。
複数のリソースに関連するオペレーション(特定のエントリタイプのエントリの作成、特定のアスペクト タイプのアスペクトのエントリへの追加など)を実行するには、リソースに関連付けられた複数の権限が必要になる場合があります。
エントリタイプ
エントリタイプを作成して管理するには、少なくとも標準の create、get、list、update、delete の権限が付与されている必要があります。
エントリタイプを作成するときに、そのエントリタイプに必須としてマークする各アスペクト タイプを使用する権限が付与されている必要があります。
エントリタイプを使用するには(エントリタイプのエントリを作成するなど)、エントリタイプに対する use 権限が付与されている必要があります。
次の表に、エントリタイプの操作に必要な権限を示します。
| オペレーション | カスタム エントリ タイプに必要な権限 |
|---|---|
| エントリタイプの一覧表示 | dataplex.entryTypes.list |
| エントリタイプの取得 | dataplex.entryTypes.get |
| エントリタイプの作成 |
|
| エントリ タイプを更新する |
|
| エントリタイプの削除 |
|
|
エントリタイプを使用する (エントリを作成するとき、最上位のエントリ フィールドと必須のアスペクト タイプの値を更新する場合) |
|
アスペクト タイプ
アスペクト タイプを作成して管理するには、標準の create、get、list、update、delete 権限が付与されている必要があります。
アスペクト タイプを使用する(エントリにオプションのアスペクトとしてアタッチするなど)には、アスペクト タイプに対する use 権限が付与されている必要があります。
アスペクト タイプは、システム アスペクト タイプとカスタム アスペクト タイプに分類されます。システム アスペクト タイプは Dataplex によって作成され、カスタム アスペクト タイプはユーザーまたは組織によって作成されます。システム アスペクト タイプは、使用可能と読み取り専用にさらに分類されます。詳細については、アスペクト タイプのカテゴリをご覧ください。
次の表に、カスタム アスペクト タイプとシステム アスペクト タイプの操作に必要な権限を示します。
| オペレーション | カスタム アスペクト タイプに必要な権限 | 使用可能なシステム アスペクト タイプに必要な権限 | 読み取り専用システム アスペクト タイプに必要な権限 |
|---|---|---|---|
| アスペクト タイプの一覧表示 | dataplex.aspectTypes.list |
該当なし | 該当なし |
| アスペクト タイプの取得 | dataplex.aspectTypes.get |
allUsers に付与 |
allUsers に付与 |
| アスペクト タイプの作成 | dataplex.aspectTypes.create |
該当なし | 該当なし |
| アスペクト タイプの更新 | dataplex.aspectTypes.update |
該当なし | 該当なし |
| アスペクト タイプの削除 | dataplex.aspectTypes.delete |
該当なし | 該当なし |
| エントリの作成または更新時に、省略可能なアスペクト タイプの値を設定する |
|
|
該当なし |
| エントリの作成または更新時に必要なアスペクト タイプ値を設定する |
|
|
該当なし |
エントリ グループ
エントリ グループを作成して管理するには、標準の create、get、list、update、delete 権限が付与されている必要があります。
エントリ グループは、Dataplex によって作成されるシステム エントリ グループと、ユーザーまたは組織によって作成されるカスタム エントリ グループに分類されます。詳細については、エントリ グループのカテゴリをご覧ください。
次の表では、エントリ グループの操作に必要な権限を示します。
| オペレーション | カスタム エントリ グループに必要な権限 | システム エントリ グループに必要な権限(@ で始まる) |
|---|---|---|
| エントリ グループの作成 | dataplex.entryGroups.create |
該当なし |
| エントリ グループの更新 | dataplex.entryGroups.update |
該当なし |
| エントリ グループの削除 | dataplex.entryGroups.delete |
該当なし |
| エントリ グループを一覧表示する | dataplex.entryGroups.list |
dataplex.entryGroups.list |
| エントリ グループの取得 | dataplex.entryGroups.get |
dataplex.entryGroups.get |
エントリ
エントリを作成して管理するには、標準の create、get、list、update、delete 権限が付与されている必要があります。
次の点にご注意ください。
- ルックアップ(
LookupEntry)メソッドと検索(SearchEntries)メソッドの場合、エントリに対する元のソースシステムの権限が必要です。たとえば、ソースが BigQuery テーブルの場合は、bigquery.tables.get権限が必要です。 - エントリを作成するとき、またはエントリの最上位フィールドを更新するときに、エントリタイプに対する
use権限が付与されている必要があります。 - 必須の要素を作成、更新、削除するには、エントリのエントリタイプと基盤となる要素タイプの両方に対して
use権限が付与されている必要があります。これは、必須アスペクトがエントリタイプによって適用されるためです。 - オプションのアスペクトを作成、更新、削除するには、アスペクトのアスペクト タイプに対する
use権限が付与されている必要があります。 - エントリをアップサートする場合(
UpdateEntryをallow_missing = Trueに置き換える場合)は、create権限が付与されている必要があります。
エントリが基づくエントリタイプの詳細については、エントリタイプのカテゴリをご覧ください。
次の表に、エントリの操作に必要な権限を示します。
| オペレーション | カスタム エントリタイプに基づくエントリ | 使用可能なシステム エントリタイプに基づくエントリ | 読み取り専用システム エントリタイプに基づくエントリ |
|---|---|---|---|
| エントリの作成 |
|
|
該当なし |
| エントリの更新 |
|
|
最上位フィールドと必須の要素は編集できません。 |
| エントリの一覧表示 | dataplex.entries.list |
dataplex.entries.list |
dataplex.entries.list |
| エントリの取得 | dataplex.entries.get |
dataplex.entries.get |
dataplex.entries.get |
| エントリのルックアップ |
元の移行元システムの読み取り権限。 カスタム エントリの場合、Dataplex は元のソースシステムとして扱われるため、これは |
元の移行元システムの読み取り権限。 カスタム エントリの場合、Dataplex は元のソースシステムとして扱われるため、これは |
元の移行元システムの読み取り権限。 カスタム エントリの場合、Dataplex は元のソースシステムとして扱われるため、これは |
| エントリの検索 |
元の移行元システムの読み取り権限。 カスタム エントリの場合、Dataplex は元のソースシステムとして扱われるため、これは |
元の移行元システムの読み取り権限。 カスタム エントリの場合、Dataplex は元のソースシステムとして扱われるため、これは |
元の移行元システムの読み取り権限。 カスタム エントリの場合、Dataplex は元のソースシステムとして扱われるため、これは |
メタデータ ジョブの権限
次の表に、メタデータ ジョブの操作に必要な権限を示します。
| オペレーション | IAM 権限 |
|---|---|
| メタデータ ジョブの作成 |
|
| メタデータ ジョブの取得 |
|
| メタデータ ジョブの一覧表示 |
|
| メタデータ ジョブのキャンセル |
|
システム アスペクト タイプとエントリタイプ
システム定義のアスペクト タイプとシステム定義のエントリタイプにはそれぞれ独自の IAM 権限があります。これらの権限は、dataplex.entryGroups.useASPECT_TYPE や dataplex.entryGroups.useENTRY_TYPE などの形式を使用します。たとえば、overview システム アスペクト タイプの権限は dataplex.entryGroups.useOverviewAspect です。
次の表に、システム定義のアスペクト タイプとエントリタイプに適用される権限を示します。
| リソース | IAM 権限 |
|---|---|
schema(システム アスペクト タイプ) |
dataplex.entryGroups.useSchemaAspect |
contacts(システム アスペクト タイプ) |
dataplex.entryGroups.useContactsAspect |
overview(システム アスペクト タイプ) |
dataplex.entryGroups.useOverviewAspect |
generic(システム アスペクト タイプ) |
dataplex.entryGroups.useGenericAspect |
generic(システム エントリ タイプ) |
dataplex.entryGroups.useGenericEntry |
レイク、ゾーン、アセットの権限
次の表では、レイク、ゾーン、アセットの操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateLake | dataplex.lakes.create |
| UpdateLake | dataplex.lakes.update |
| DeleteLake | dataplex.lakes.delete |
| ListLakes | dataplex.lakes.list |
| GetLake | dataplex.lakes.get |
| ListLakeActions | dataplex.lakeActions.list |
| CreateZone | dataplex.zones.create |
| UpdateZone | dataplex.zones.update |
| DeleteZone | dataplex.zones.delete |
| ListZones | dataplex.zones.list |
| GetZone | dataplex.zones.get |
| ListZoneActions | dataplex.zoneActions.list |
| CreateAsset | dataplex.assets.create |
| UpdateAsset | dataplex.assets.update |
| DeleteAsset | dataplex.assets.delete |
| ListAssets | dataplex.assets.list |
| GetAsset | dataplex.assets.get |
| ListAssetActions | dataplex.assetActions.list |
タスクの権限
次の表では、タスクの操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateTask | dataplex.tasks.create |
| UpdateTask | dataplex.tasks.update |
| DeleteTask | dataplex.tasks.delete |
| ListTasks | dataplex.tasks.list |
| GetTask | dataplex.tasks.get |
| ListJobs | dataplex.tasks.get |
| GetJob | dataplex.tasks.get |
| CancelJob | dataplex.tasks.cancel |
環境の権限
次の表では、環境での操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateEnvironment | dataplex.environments.create |
| UpdateEnvironment | dataplex.environments.update |
| DeleteEnvironment | dataplex.environments.delete |
| ListEnvironments | dataplex.environments.list |
| GetEnvironment | dataplex.environments.get |
| CreateContent | dataplex.content.create |
| UpdateContent | dataplex.content.update |
| DeleteContent | dataplex.content.delete |
| ListContent | dataplex.content.list |
| GetContent | dataplex.content.get |
| ListSessions | dataplex.environments.get |
メタデータの権限
次の表では、エンティティとパーティションの操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateEntity | dataplex.entities.create |
| UpdateEntity | dataplex.entities.update |
| DeleteEntity | dataplex.entities.delete |
| GetEntity | dataplex.entities.get |
| ListEntities | dataplex.entities.list |
| CreatePartition | dataplex.partitions.create |
| UpdatePartition | dataplex.partitions.update |
| DeletePartition | dataplex.partitions.delete |
| GetPartition | dataplex.partitions.get |
| ListPartitions | dataplex.partitions.list |
データスキャンの権限
次の表では、データスキャンの操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateDataScan | dataplex.datascans.create |
| UpdateDataScan | dataplex.datascans.update |
| DeleteDataScan | dataplex.datascans.delete |
| ListDataScans | dataplex.datascans.list |
| GetDataScan(基本ビュー) | dataplex.datascans.get |
| GetDataScan(全体ビュー) | dataplex.datascans.getData |
| ListDataScanJobs | dataplex.datascans.get |
| GetDataScanJob(基本ビュー) | dataplex.datascans.get |
| GetDataScanJob(全体ビュー) | dataplex.datascans.getData |
| RunDataScan | dataplex.datascans.run |