Dataplex Universal Catalog の権限により、Dataplex Universal Catalog のサービス、リソース、オペレーションに対して特定のアクションを実行できます。たとえば、dataplex.datascans.create 権限により、プロジェクトで Dataplex Universal Catalog データスキャンを作成できます。ユーザーには、直接権限を付与するのではなく、ロールを割り当てます。ロールには、1 つ以上の権限が組み込まれています。
このドキュメントでは、Dataplex Universal Catalog に関連する IAM 権限について説明します。Dataplex Universal Catalog 事前定義ロールとそのロールに組み込まれた権限の詳細については、Dataplex Universal Catalog IAM ロールをご覧ください。
IAM とその機能の詳細については、IAM のドキュメントをご覧ください。
IAM ポリシーの設定と取得の権限
次のテーブルでは、IAM 権限の取得と設定に必要な権限を示します。
| リソース | API メソッド | IAM 権限 |
|---|---|---|
| エントリタイプ | GetIamPolicy | dataplex.entryTypes.getIamPolicy |
| エントリタイプ | SetIamPolicy | dataplex.entryTypes.setIamPolicy |
| アスペクト タイプ | GetIamPolicy | dataplex.aspectTypes.getIamPolicy |
| アスペクト タイプ | SetIamPolicy | dataplex.aspectTypes.setIamPolicy |
| エントリ グループ | GetIamPolicy | dataplex.entryGroups.getIamPolicy |
| エントリ グループ | SetIamPolicy | dataplex.entryGroups.setIamPolicy |
| レイク | GetIamPolicy | dataplex.lakes.getIamPolicy |
| レイク | SetIamPolicy | dataplex.lakes.setIamPolicy |
メタデータ管理の権限
エントリタイプ、アスペクト タイプ、エントリ グループ、エントリに対してオペレーションを実行するために必要な権限のセットは、リソースがシステム リソースかカスタム リソースかによって異なります。システム リソースは Dataplex Universal Catalog によって定義され、カスタム リソースはユーザーまたは組織によって定義されます。
複数のリソースに関連するオペレーション(特定のエントリタイプのエントリの作成、特定のアスペクト タイプのアスペクトのエントリへの追加など)を実行するには、リソースに関連付けられた複数の権限が必要になる場合があります。
エントリタイプ
エントリタイプを作成して管理するには、少なくとも標準の create、get、list、update、delete の権限が付与されている必要があります。
エントリタイプを作成するときに、そのエントリタイプに必須とされるアスペクト タイプをそれぞれ使用する権限が付与されている必要があります。
エントリタイプを使用するには(エントリタイプのエントリを作成するなど)、エントリタイプに対する use 権限が付与されている必要があります。
次のテーブルでは、エントリタイプに対する操作に必要な権限を示します。
| オペレーション | カスタム エントリタイプに必要な権限 |
|---|---|
| エントリタイプを一覧表示する | dataplex.entryTypes.list |
| エントリタイプを取得する | dataplex.entryTypes.get |
| エントリタイプを作成する |
|
| エントリタイプを更新する |
|
| エントリタイプを削除する |
|
|
エントリタイプを使用する (エントリを作成する、最上位エントリ フィールドと必須アスペクト タイプの値を更新するとき) |
|
アスペクト タイプ
アスペクト タイプを作成して管理するには、標準の create、get、list、update、delete 権限が付与されている必要があります。
アスペクト タイプを使用する(エントリにオプションのアスペクトとしてアタッチするなど)には、アスペクト タイプに対する use 権限が付与されている必要があります。
アスペクト タイプは、システム アスペクト タイプとカスタム アスペクト タイプに分類されます。システム アスペクト タイプは Dataplex Universal Catalog によって作成され、カスタム アスペクト タイプはユーザーまたは組織によって作成されます。システム アスペクト タイプは、使用可能と読み取り専用にさらに分類されます。詳細については、アスペクト タイプのカテゴリをご覧ください。
次のテーブルでは、カスタム アスペクト タイプとシステム アスペクト タイプの操作に必要な権限を示します。
| オペレーション | カスタム アスペクト タイプに必要な権限 | 使用可能なシステム アスペクト タイプに必要な権限 | 読み取り専用システム アスペクト タイプに必要な権限 |
|---|---|---|---|
| アスペクト タイプを一覧表示する | dataplex.aspectTypes.list |
該当なし | なし |
| アスペクト タイプを取得する | dataplex.aspectTypes.get |
allUsers に付与 |
allUsers に付与 |
| アスペクト タイプを作成する | dataplex.aspectTypes.create |
なし | なし |
| アスペクト タイプを更新する | dataplex.aspectTypes.update |
なし | なし |
| アスペクト タイプを削除する | dataplex.aspectTypes.delete |
なし | なし |
| エントリの作成または更新時に、オプションのアスペクト タイプの値を設定する |
|
|
なし |
| エントリの作成または更新時に必須アスペクト タイプの値を設定する |
|
|
なし |
エントリ グループ
エントリ グループを作成して管理するには、標準の create、get、list、update、delete 権限が付与されている必要があります。
エントリ グループは、Dataplex Universal Catalog によって作成されるシステム エントリ グループと、ユーザーまたは組織によって作成されるカスタム エントリ グループに分類されます。詳細については、エントリ グループのカテゴリをご覧ください。
次のテーブルでは、エントリ グループの操作に必要な権限を示します。
| オペレーション | カスタム エントリ グループに必要な権限 | システム エントリ グループに必要な権限(@ で始まる) |
|---|---|---|
| エントリ グループの作成 | dataplex.entryGroups.create |
なし |
| エントリ グループの更新 | dataplex.entryGroups.update |
なし |
| エントリ グループの削除 | dataplex.entryGroups.delete |
なし |
| エントリ グループの一覧表示 | dataplex.entryGroups.list |
dataplex.entryGroups.list |
| エントリ グループの取得 | dataplex.entryGroups.get |
dataplex.entryGroups.get |
エントリ
エントリを作成して管理するには、標準の create、get、list、update、delete 権限が付与されている必要があります。
次の点にご注意ください。
- ルックアップ(
LookupEntry)メソッドと検索(SearchEntries)メソッドの場合、エントリに対する元のソースシステムの権限が必要です。たとえば、ソースが BigQuery テーブルの場合は、bigquery.tables.get権限が必要です。 - エントリを作成するとき、またはエントリの最上位フィールドを更新するときには、エントリタイプの
use権限が付与されている必要があります。 - 必須アスペクトを作成、更新、削除するには、エントリのエントリタイプと基盤となるアスペクト タイプの両方に対する
use権限が付与されている必要があります。これは、必須アスペクトがエントリタイプによって適用されるためです。 - オプションのアスペクトを作成、更新、削除するには、アスペクトのアスペクト タイプに対する
use権限が付与されている必要があります。 - エントリを upsert する場合(
allow_missing = TrueでUpdateEntry)は、create権限が付与されている必要があります。
エントリがベースとして使用するエントリタイプの詳細については、エントリタイプのカテゴリをご覧ください。
次のテーブルでは、エントリに対する操作に必要な権限を示します。
| オペレーション | カスタム エントリタイプに基づくエントリ | 使用可能なシステム エントリタイプに基づくエントリ | 読み取り専用システム エントリタイプに基づくエントリ |
|---|---|---|---|
| エントリの作成 |
|
|
なし |
| エントリの更新 |
|
|
最上位フィールドと必須アスペクトは編集できません。 |
| エントリの一覧表示 | dataplex.entries.list |
dataplex.entries.list |
dataplex.entries.list |
| エントリの取得 | dataplex.entries.get |
dataplex.entries.get |
dataplex.entries.get |
| エントリの参照 |
元のソースシステムの読み取り権限。 カスタム エントリの場合、Dataplex Universal Catalog は元のソースシステムとして扱われるため、これは |
元のソースシステムの読み取り権限。 カスタム エントリの場合、Dataplex Universal Catalog は元のソースシステムとして扱われるため、これは |
元のソースシステムの読み取り権限。 カスタム エントリの場合、Dataplex Universal Catalog は元のソースシステムとして扱われるため、これは |
| エントリの検索 |
元のソースシステムの読み取り権限。 カスタム エントリの場合、Dataplex Universal Catalog は元のソースシステムとして扱われるため、これは |
元のソースシステムの読み取り権限。 カスタム エントリの場合、Dataplex Universal Catalog は元のソースシステムとして扱われるため、これは |
元のソースシステムの読み取り権限。 カスタム エントリの場合、Dataplex Universal Catalog は元のソースシステムとして扱われるため、これは |
メタデータ ジョブの権限
次の表に、メタデータのインポート ジョブとメタデータのエクスポート ジョブの操作に必要な権限を示します。
| オペレーション | IAM 権限 |
|---|---|
| メタデータのインポート ジョブを作成する |
|
| メタデータのエクスポート ジョブの作成 |
|
| メタデータのエクスポート ジョブからエクスポートされた結果へのアクセス |
|
| メタデータ ジョブの取得 |
|
| メタデータ ジョブの一覧表示 |
|
| メタデータ ジョブのキャンセル |
|
システム アスペクト タイプとエントリタイプ
システム定義のアスペクト タイプとシステム定義のエントリタイプにはそれぞれ独自の IAM 権限があります。これらの権限は、dataplex.entryGroups.useASPECT_TYPE や dataplex.entryGroups.useENTRY_TYPE などの形式を使用します。たとえば、overview システム アスペクト タイプの権限は dataplex.entryGroups.useOverviewAspect です。
次のテーブルでは、システム定義のアスペクト タイプとエントリタイプに適用される権限を示します。
| リソース | IAM 権限 |
|---|---|
contacts(システム アスペクト タイプ) |
dataplex.entryGroups.useContactsAspect |
data-quality-scorecard(システム アスペクト タイプ) |
dataplex.entryGroups.useDataQualityScorecardAspect |
generic(システム アスペクト タイプ) |
dataplex.entryGroups.useGenericAspect |
generic(システム エントリタイプ) |
dataplex.entryGroups.useGenericEntry |
overview(システム アスペクト タイプ) |
dataplex.entryGroups.useOverviewAspect |
schema(システム アスペクト タイプ) |
dataplex.entryGroups.useSchemaAspect |
レイク、ゾーン、アセットの権限
次のテーブルでは、レイク、ゾーン、アセットの操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateLake | dataplex.lakes.create |
| UpdateLake | dataplex.lakes.update |
| DeleteLake | dataplex.lakes.delete |
| ListLakes | dataplex.lakes.list |
| GetLake | dataplex.lakes.get |
| ListLakeActions | dataplex.lakeActions.list |
| CreateZone | dataplex.zones.create |
| UpdateZone | dataplex.zones.update |
| DeleteZone | dataplex.zones.delete |
| ListZones | dataplex.zones.list |
| GetZone | dataplex.zones.get |
| ListZoneActions | dataplex.zoneActions.list |
| CreateAsset | dataplex.assets.create |
| UpdateAsset | dataplex.assets.update |
| DeleteAsset | dataplex.assets.delete |
| ListAssets | dataplex.assets.list |
| GetAsset | dataplex.assets.get |
| ListAssetActions | dataplex.assetActions.list |
タスクの権限
次のテーブルでは、タスクの操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateTask | dataplex.tasks.create |
| UpdateTask | dataplex.tasks.update |
| DeleteTask | dataplex.tasks.delete |
| ListTasks | dataplex.tasks.list |
| GetTask | dataplex.tasks.get |
| ListJobs | dataplex.tasks.get |
| GetJob | dataplex.tasks.get |
| CancelJob | dataplex.tasks.cancel |
環境の権限
次のテーブルでは、環境での操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateEnvironment | dataplex.environments.create |
| UpdateEnvironment | dataplex.environments.update |
| DeleteEnvironment | dataplex.environments.delete |
| ListEnvironments | dataplex.environments.list |
| GetEnvironment | dataplex.environments.get |
| CreateContent | dataplex.content.create |
| UpdateContent | dataplex.content.update |
| DeleteContent | dataplex.content.delete |
| ListContent | dataplex.content.list |
| GetContent | dataplex.content.get |
| ListSessions | dataplex.environments.get |
メタデータの権限
次のテーブルでは、エンティティとパーティションの操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateEntity | dataplex.entities.create |
| UpdateEntity | dataplex.entities.update |
| DeleteEntity | dataplex.entities.delete |
| GetEntity | dataplex.entities.get |
| ListEntities | dataplex.entities.list |
| CreatePartition | dataplex.partitions.create |
| UpdatePartition | dataplex.partitions.update |
| DeletePartition | dataplex.partitions.delete |
| GetPartition | dataplex.partitions.get |
| ListPartitions | dataplex.partitions.list |
データスキャンの権限
次のテーブルでは、データスキャンの操作に必要な権限を示します。
| API メソッド | IAM 権限 |
|---|---|
| CreateDataScan | dataplex.datascans.create |
| UpdateDataScan | dataplex.datascans.update |
| DeleteDataScan | dataplex.datascans.delete |
| ListDataScans | dataplex.datascans.list |
| GetDataScan(基本ビュー) | dataplex.datascans.get |
| GetDataScan(全体ビュー) | dataplex.datascans.getData |
| ListDataScanJobs | dataplex.datascans.get |
| GetDataScanJob(基本ビュー) | dataplex.datascans.get |
| GetDataScanJob(全体ビュー) | dataplex.datascans.getData |
| RunDataScan | dataplex.datascans.run |