Dataplex では、いくつかの Identity and Access Management(IAM)ロールが定義されています。各事前定義ロールには、プリンシパルが特定のアクションを実行できる一連の IAM 権限が含まれています。IAM ポリシーを使用して、プリンシパルに 1 つ以上の IAM ロールを付与できます。
Identity and Access Management(IAM)では、カスタマイズされた IAM ロールを作成することもできます。カスタムの IAM の役割を作成し、この役割に 1 つ以上の権限を割り当てることができます。その後、新しいロールをプリンシパルに付与できます。カスタムロールを使用して、使用可能な事前定義ロールとともにニーズに直接対応するアクセス制御モデルを作成します。
このドキュメントでは、Dataplex に関連する IAM ロールについて主に説明します。
始める前に
- IAM のドキュメントをお読みください。
Dataplex のロール
Identity and Access Management(IAM)の Dataplex のロールは、1 つ以上の権限をまとめたものです。プリンシパルがプロジェクトの Dataplex リソースに対するアクションを実行できるように、ロールを付与します。たとえば、Dataplex 閲覧者ロールには、dataplex.*.get と dataplex.*.list の権限が含まれています。これらによって、ユーザーはプロジェクトの Dataplex のサービス、リソース、オペレーションを取得して一覧表示できます。
Dataplex のロールは、プロジェクト、レイク、データゾーンなど、サービス階層内の任意のリソースに適用できます。
基本ロール
IAM の Project ロールを使用すると、基本ロールをプロジェクト レベルで割り当てることができます。IAM の Project ロールに関連付けられた権限の概要は、次のとおりです。
| プロジェクトの役割 | 権限 |
|---|---|
| プロジェクト所有者 | すべてのプロジェクト編集者権限+プロジェクトに対するアクセス制御を管理(get/set IamPolicy)し、プロジェクト課金をセットアップするための権限 |
| プロジェクト編集者 | プロジェクト閲覧者のすべての権限に加え、状態を変更するアクション(create、delete、update、use)に関するすべてのプロジェクト権限 |
| プロジェクト閲覧者 | 状態を変更しない読み取り専用アクション(get、list)に関するすべてのプロジェクト権限 |
事前定義されたロール
次の表に、Dataplex の事前定義された(またはキュレートされた)ロールと、各ロールに関連付けられた権限を示します。
| 役割 ID | 権限 |
|---|---|
| roles/dataplex.admin | dataplex.*.create dataplex.*.update dataplex.*.delete dataplex.*.get dataplex.*.getData dataplex.*.list dataplex.*.getIamPolicy dataplex.*.setIamPolicy |
| roles/dataplex.editor | dataplex.*.create dataplex.*.update dataplex.*.delete |
| roles/dataplex.viewer | dataplex.*.get dataplex.*.list |
注:
- 「*」は「レイク」や「ゾーン」などのリソースタイプを表します。特定のリソースタイプでは、定義されていない権限もあります。
dataplex.adminロールでは、IAM ポリシー管理を含むすべての Dataplex リソースに対する完全アクセス権が付与されます。dataplex.editorロールでは、すべての Dataplex リソースに対する読み取り / 書き込みアクセス権を付与します。dataplex.viewerロールでは、すべての Dataplex リソースに対する読み取りアクセス権を付与します。- データスキャン リソースの場合、リソースの全体表示を取得するには
dataplex.datascans.getData権限が必要です。この権限は、roles/dataplex.viewerやroles/dataplex.editorには含まれていません。詳細については、データスキャンの権限とロールをご覧ください。
データのロール
Dataplex では、Dataplex によって管理されるあらゆるリソースに適用されることを目的とした次の 3 つの IAM ロールを定義します。
| データのロール | 機能 | 理由 |
|---|---|---|
| roles/dataplex.dataOwner | マネージド リソースに対するすべての権限。および、すべての子リソースに対するすべての権限(リソースタイプに関係なく)。 | データオーナーは、他のさまざまな権限に加えて、リソース メタデータの更新、より細かい粒度の権限(たとえば、BigQuery データセットの子テーブル)の付与、子リソースの作成を行うことができます。リソースの完全な所有権を持っています。 |
| roles/dataplex.dataReader | マネージド リソースとその子のデータを読み取る能力。そして、マネージド リソースとその子のメタデータを読み取る能力。 | データとメタデータを読み取る能力を有効にします。 |
| roles/dataplex.dataWriter | データを作成 / 更新 / 削除する機能(メタデータではない)。 | コア Dataplex のユーザー ジャーニーを有効にします。 |
次のステップ
- カスタムの IAM ロールを作成する方法を確認する。
- ロールを付与して管理する方法を確認する。
- Dataplex IAM 権限のマッピングをご覧ください。