2024年版【GCP資格の勉強 PDE編】IAMを利用したBigQueryのアクセス制御とは?

2024年版【GCP資格の勉強 PDE編】

2024年版【GCP資格の勉強 PDE編】IAMを利用したBigQueryのアクセス制御とは?について解説します。
(★注意:GCP資格 Professional Data Engineer(PDE)試験の公式テキスト・問題集などを元に独自にまとめたものです)

Google Cloud Platform(GCP)上でのBigQueryのアクセス制御は、IAM(Identity and Access Management)を中心に行われます。

IAMを利用したBigQueryのアクセス制御とは?

BigQueryにおけるIAMの利用方法は以下のように説明できます。

Google Cloud Platform(GCP)のBigQueryでのアクセス制御は、IAM(アイデンティティとアクセス管理)というシステムを使って行います。IAMは、BigQuery上のデータや機能へのアクセスを管理する方法です。

  • プロジェクトレベル:BigQueryを含む全GCPサービスのアクセスを制御するレベルです。プロジェクトレベルでは、プロジェクト全体に対するアクセス権を設定します。
  • データセットレベル:BigQuery内の特定のデータセット(データの集まり)へのアクセス権を管理します。データセットレベルにより、特定のデータセットへのアクセスを制限したり、特定のユーザーやグループにだけアクセスを許可したりできます。
  • テーブルレベル:BigQueryの特定のテーブル(データの表)に対するアクセス権を設定できます。テーブルレベルは、特定のデータのみのアクセスを許可したい場合に役立ちます。

また、BigQueryでは「ポリシータグ」という機能を使って、さらに詳細なアクセス制御を行うこともできます。ポリシータグにより、データセット内の特定のカラム(列)に対するアクセスを制限できます。

BigQueryにおけるIAMの利用は、データへのアクセスを管理し、必要な人だけが適切なデータにアクセスできるようにするための重要な方法です。

1. アクセス制御の単位

  • プロジェクトレベル:プロジェクト全体に対するアクセス権を管理します。
  • データセットレベル:一般的なデータベースのスキーマに相当し、複数のテーブルやビューなどのリソースを含む単位でアクセス制御します。
  • テーブルレベル:個々のテーブルに対するアクセス権を制御します。
  • カラム(列)レベル:Data Catalogを使用してポリシータグを設定し、特定のカラムへのアクセスを制御します。カラム(列)レベルにより、きめ細かい読み取りアクセスを実現できます。

2. Data Catalogとポリシータグ

Data Catalogのポリシータグを使って、BigQueryのカラムレベルでアクセス制御できます。Data Catalogとポリシータグにより、特定のカラムへのアクセスを限定できます。

3. Cloud DLPとの連携

Cloud Data Loss Prevention(DLP)を使用して、BigQuery内の個人情報や機密情報を定期的にスキャンし、データに対するアクセスを制御できます。

4. 承認済みビュー

承認済みビューを使用することで、特定のユーザーやグループに対して、元のテーブルへの直接アクセスを許可せずに、クエリの結果のみを共有できます。承認済みビューの機能は、特にセキュリティが重視される環境で有効です。

5. Cloud Storageのアクセス制御

  • 均一なアクセス管理:IAMのみを使用したアクセス管理。アクセス権はプロジェクト全体に適用されます。
  • きめ細やかなアクセス管理**:IAMとACL(Access Control List)を併用したアクセス管理。AMとACLにより、特定のバケットやオブジェクトに対してより詳細なアクセス権を設定できます。

【練習問題】IAMを利用したBigQueryのアクセス制御

練習問題1:

質問: BigQueryでのIAMの使用において、カラム(列)レベルでアクセスを制限するために使用される機能は何ですか?

  1. 承認済みビュー
  2. ポリシータグ
  3. Cloud DLP
  4. IAMロール

解答: 2. ポリシータグ
解説: BigQueryでのIAMを利用したアクセス制御では、Data Catalogのポリシータグを使用して、特定のカラムへのアクセスを制限することができます。これにより、特定のデータに対するきめ細かいアクセス制御が可能となります。

練習問題2:

質問: BigQueryにおいて、プロジェクトレベルでのアクセス権を管理するには、どのIAM機能を使用するのが適切ですか?

  1. ポリシータグ
  2. 承認済みビュー
  3. IAMロール
  4. Cloud DLP

解答: 3. IAMロール
解説: BigQueryでのプロジェクトレベルのアクセス権を管理するためには、IAMロールを使用します。これにより、プロジェクト全体に対するアクセス権を適切に割り当てることができます。

練習問題3:

質問: BigQueryでのデータセットレベルのアクセス制御において、個人情報の保護に特に役立つ機能は何ですか?

  1. 承認済みビュー
  2. IAMロール
  3. ポリシータグ
  4. Cloud DLP

解答: 4. Cloud DLP
解説: BigQueryでのデータセットレベルのアクセス制御において、個人情報や機密情報の保護にはCloud Data Loss Prevention(DLP)が特に有効です。Cloud DLPを使用することで、データセット内の個人情報を定期的にスキャンし、これに基づいてアクセス制御を強化することができます。

まとめ

IAMの機能を理解し、適切に適用することは、PDE試験の中で重要な知識となります。特にデータセキュリティとプライバシーに関わる部分では、IAMの概念の理解が求められます。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA