Dataplex の権限では、Dataplex のサービス、リソース、オペレーションに対して特定のアクションを実行できます。たとえば、dataplex.datascans.create 権限を持つユーザーは、プロジェクトで Dataplex データスキャンを作成できます。ユーザーには権限を直接付与するのではなく、ロールを割り当てます。ロールには、1 つ以上の権限が組み込まれています。
このドキュメントでは、Dataplex に関連する IAM の権限について説明します。Dataplex の事前定義ロールと、それに含まれる権限の詳細については、Dataplex IAM ロールをご覧ください。
始める前に
IAM のドキュメントをお読みください。
IAM ポリシーの設定と取得の権限
次の表に、IAM 権限の取得と設定に必要な権限を示します。
| リソース | API メソッド | IAM 権限 |
|---|---|---|
| エントリタイプ | GetIamPolicy | dataplex.entryTypes.getIamPolicy |
| エントリタイプ | SetIamPolicy | dataplex.entryTypes.setIamPolicy |
| アスペクト タイプ | GetIamPolicy | dataplex.aspectTypes.getIamPolicy |
| アスペクト タイプ | SetIamPolicy | dataplex.aspectTypes.setIamPolicy |
| エントリ グループ | GetIamPolicy | dataplex.entryGroups.getIamPolicy |
| エントリ グループ | SetIamPolicy | dataplex.entryGroups.setIamPolicy |
| Lakes | GetIamPolicy | dataplex.lakes.getIamPolicy |
| Lakes | SetIamPolicy | dataplex.lakes.setIamPolicy |
Dataplex Catalog の権限
エントリタイプ、アスペクト タイプ、エントリ グループ、エントリに対してオペレーションを実行するために必要な権限のセットは、リソースがシステム リソースかカスタム リソースかによって異なります。システム リソースは Dataplex によって定義され、カスタム リソースはユーザーまたは組織によって定義されます。
複数のリソースに関連するオペレーション(特定のエントリタイプのエントリの作成、特定の要素タイプの要素のエントリへの追加など)を実行するには、リソースに関連付けられた複数の権限が必要になる場合があります。
エントリタイプ
エントリタイプを作成して管理するには、少なくとも標準の create、get、list、update、delete 権限が付与されている必要があります。
エントリタイプを作成するときに、そのエントリタイプに必須としてマークする各アスペクト タイプを使用する権限が付与されている必要があります。
エントリタイプを使用するには(エントリタイプのエントリを作成するなど)、エントリタイプに対する use 権限が付与されている必要があります。
次の表に、エントリタイプを操作するために必要な権限を示します。
| オペレーション | カスタム エントリ タイプに必要な権限 |
|---|---|
| エントリタイプを一覧表示する | dataplex.entryTypes.list |
| エントリタイプを取得する | dataplex.entryTypes.get |
| エントリタイプを作成する |
|
| エントリの種類を更新する |
|
| エントリタイプを削除する |
|
|
エントリタイプを使用する (エントリを作成するとき、最上位のエントリ フィールドと必須のアスペクト タイプの値を更新する) |
|
アスペクト タイプ
アスペクト タイプを作成して管理するには、標準の create、get、list、update、delete 権限が付与されている必要があります。
アスペクト タイプを使用する(エントリにオプションのアスペクトとしてアタッチするなど)には、アスペクト タイプに対する use 権限が付与されている必要があります。
アスペクト タイプは、システム アスペクト タイプとカスタム アスペクト タイプに分類されます。システム アスペクト タイプは Dataplex によって作成され、カスタム アスペクト タイプはユーザーまたは組織によって作成されます。システム アスペクト タイプは、使用可能と読み取り専用にさらに分類されます。詳細については、アスペクト タイプのカテゴリをご覧ください。
次の表に、カスタム アスペクト タイプとシステム アスペクト タイプを操作するために必要な権限を示します。
| オペレーション | カスタム アスペクト タイプに必要な権限 | 使用可能なシステム アスペクト タイプに必要な権限 | 読み取り専用システム アスペクト タイプに必要な権限 |
|---|---|---|---|
| アスペクト タイプを一覧表示する | dataplex.aspectTypes.list |
該当なし | なし |
| アスペクト タイプを取得する | dataplex.aspectTypes.get |
allUsers に付与 |
allUsers に付与 |
| アスペクト タイプを作成する | dataplex.aspectTypes.create |
なし | なし |
| アスペクト タイプを更新する | dataplex.aspectTypes.update |
なし | なし |
| アスペクト タイプを削除する | dataplex.aspectTypes.delete |
なし | なし |
| エントリの作成または更新時に、省略可能なアスペクト タイプの値を設定する |
|
|
なし |
| エントリの作成または更新時に必要なアスペクト タイプ値を設定する |
|
|
なし |
エントリ グループ
エントリ グループを作成して管理するには、標準の create、get、list、update、delete 権限が付与されている必要があります。
エントリ グループは、Dataplex によって作成されるシステム エントリ グループと、ユーザーまたは組織によって作成されるカスタム エントリ グループに分類されます。詳細については、エントリ グループのカテゴリをご覧ください。
次の表に、エントリ グループの操作に必要な権限を示します。
| オペレーション | カスタム エントリ グループに必要な権限 | システム エントリ グループに必要な権限(@ で始まる) |
|---|---|---|
| エントリ グループを作成する | dataplex.entryGroups.create |
なし |
| エントリ グループを更新する | dataplex.entryGroups.update |
なし |
| エントリ グループを削除する | dataplex.entryGroups.delete |
なし |
| エントリ グループを一覧表示する | dataplex.entryGroups.list |
dataplex.entryGroups.list |
| エントリ グループを取得する | dataplex.entryGroups.get |
dataplex.entryGroups.get |
エントリ
エントリを作成して管理するには、標準の create、get、list、update、delete 権限が付与されている必要があります。
次の点にご注意ください。
- ルックアップ(
LookupEntry)メソッドと検索(SearchEntries)メソッドの場合、エントリに対する元のソースシステムの権限が必要です。たとえば、ソースが BigQuery テーブルの場合は、bigquery.tables.get権限が必要です。 - エントリを作成するとき、またはエントリの最上位フィールドを更新するときに、エントリタイプに対する
use権限が付与されている必要があります。 - 必須の要素を作成、更新、削除するには、エントリのエントリタイプと基盤となる要素タイプの両方に対して
use権限が付与されている必要があります。これは、必須アスペクトがエントリタイプによって適用されるためです。 - オプションのアスペクトを作成、更新、削除するには、アスペクトのアスペクト タイプに対する
use権限が必要です。 - エントリをアップサートする場合(
UpdateEntryをallow_missing = Trueに置き換える場合)は、create権限が付与されている必要があります。
エントリが基づくエントリタイプの詳細については、エントリタイプのカテゴリをご覧ください。
次の表に、エントリの操作に必要な権限を示します。
| オペレーション | カスタム エントリタイプに基づくエントリ | 使用可能なシステム エントリ タイプに基づくエントリ | 読み取り専用システム エントリタイプに基づくエントリ |
|---|---|---|---|
| エントリを作成する |
|
|
なし |
| エントリの更新 |
|
|
最上位フィールドと必須の要素は編集できません。 |
| エントリの一覧表示 | dataplex.entries.list |
dataplex.entries.list |
dataplex.entries.list |
| エントリを取得する | dataplex.entries.get |
dataplex.entries.get |
dataplex.entries.get |
| エントリを検索する |
元のソースシステムの読み取り権限。 カスタム エントリの場合、Dataplex は元のソースシステムとして扱われるため、これは |
元のソースシステムの読み取り権限。 カスタム エントリの場合、Dataplex は元のソースシステムとして扱われるため、これは |
元のソースシステムの読み取り権限。 カスタム エントリの場合、Dataplex は元のソースシステムとして扱われるため、これは |
| エントリを検索する |
元のソースシステムの読み取り権限。 カスタム エントリの場合、Dataplex は元のソースシステムとして扱われるため、これは |
元のソースシステムの読み取り権限。 カスタム エントリの場合、Dataplex は元のソースシステムとして扱われるため、これは |
元のソースシステムの読み取り権限。 カスタム エントリの場合、Dataplex は元のソースシステムとして扱われるため、これは |
メタデータ ジョブの権限
次の表に、メタデータ ジョブの操作に必要な権限を示します。
| オペレーション | IAM 権限 |
|---|---|
| メタデータ ジョブを作成する |
|
| メタデータ ジョブを取得する |
|
| メタデータ ジョブを一覧表示する |
|
| メタデータ ジョブをキャンセルする |
|
システム アスペクト タイプとエントリタイプ
システム定義のアスペクト タイプとシステム定義のエントリ タイプにはそれぞれ独自の IAM 権限があります。これらの権限は、dataplex.entryGroups.useASPECT_TYPE や dataplex.entryGroups.useENTRY_TYPE などの形式を使用します。たとえば、overview システム アスペクト タイプの権限は dataplex.entryGroups.useOverviewAspect です。
次の表に、システム定義のアスペクト タイプとエントリ タイプに適用される権限を示します。
| リソース | IAM 権限 |
|---|---|
schema(システム アスペクト タイプ) |
dataplex.entryGroups.useSchemaAspect |
contacts(システム アスペクト タイプ) |
dataplex.entryGroups.useContactsAspect |
overview(システム アスペクト タイプ) |
dataplex.entryGroups.useOverviewAspect |
generic(システム アスペクト タイプ) |
dataplex.entryGroups.useGenericAspect |
generic(システム エントリ タイプ) |
dataplex.entryGroups.useGenericEntry |
レイク、ゾーン、アセットの権限
次の表に、レイク、ゾーン、アセットの操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateLake | dataplex.lakes.create |
| UpdateLake | dataplex.lakes.update |
| DeleteLake | dataplex.lakes.delete |
| ListLakes | dataplex.lakes.list |
| GetLake | dataplex.lakes.get |
| ListLakeActions | dataplex.lakeActions.list |
| CreateZone | dataplex.zones.create |
| UpdateZone | dataplex.zones.update |
| DeleteZone | dataplex.zones.delete |
| ListZones | dataplex.zones.list |
| GetZone | dataplex.zones.get |
| ListZoneActions | dataplex.zoneActions.list |
| CreateAsset | dataplex.assets.create |
| UpdateAsset | dataplex.assets.update |
| DeleteAsset | dataplex.assets.delete |
| ListAssets | dataplex.assets.list |
| GetAsset | dataplex.assets.get |
| ListAssetActions | dataplex.assetActions.list |
タスクの権限
次の表に、タスクの操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateTask | dataplex.tasks.create |
| UpdateTask | dataplex.tasks.update |
| DeleteTask | dataplex.tasks.delete |
| ListTasks | dataplex.tasks.list |
| GetTask | dataplex.tasks.get |
| ListJobs | dataplex.tasks.get |
| GetJob | dataplex.tasks.get |
| CancelJob | dataplex.tasks.cancel |
環境の権限
次の表に、環境での操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateEnvironment | dataplex.environments.create |
| UpdateEnvironment | dataplex.environments.update |
| DeleteEnvironment | dataplex.environments.delete |
| ListEnvironments | dataplex.environments.list |
| GetEnvironment | dataplex.environments.get |
| CreateContent | dataplex.content.create |
| UpdateContent | dataplex.content.update |
| DeleteContent | dataplex.content.delete |
| ListContent | dataplex.content.list |
| GetContent | dataplex.content.get |
| ListSessions | dataplex.environments.get |
メタデータの権限
次の表に、エンティティとパーティションの操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateEntity | dataplex.entities.create |
| UpdateEntity | dataplex.entities.update |
| DeleteEntity | dataplex.entities.delete |
| GetEntity | dataplex.entities.get |
| ListEntities | dataplex.entities.list |
| CreatePartition | dataplex.partitions.create |
| UpdatePartition | dataplex.partitions.update |
| DeletePartition | dataplex.partitions.delete |
| GetPartition | dataplex.partitions.get |
| ListPartitions | dataplex.partitions.list |
データスキャンの権限
次の表に、データスキャンの操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateDataScan | dataplex.datascans.create |
| UpdateDataScan | dataplex.datascans.update |
| DeleteDataScan | dataplex.datascans.delete |
| ListDataScans | dataplex.datascans.list |
| GetDataScan(基本ビュー) | dataplex.datascans.get |
| GetDataScan(全体ビュー) | dataplex.datascans.getData |
| ListDataScanJobs | dataplex.datascans.get |
| GetDataScanJob(基本ビュー) | dataplex.datascans.get |
| GetDataScanJob(全体ビュー) | dataplex.datascans.getData |
| RunDataScan | dataplex.datascans.run |