外部のGoogleアカウントに権限を付与する
外部のGoogleアカウントに対して、Datahubで管理するリソースに対する権限を付与することができます。
Googleアカウントの種類
Googleアカウントには次の2種類があり、扱いが異なります。
- Googleユーザーアカウント
- Googleのサービスへのログインにユーザーが利用するもの
- Googleサービスアカウント
- メールアドレスの末尾が
@xxxxxxxxx.iam.gserviceaccount.com
- メールアドレスの末尾が
Datahub内のデータセットへのクエリ実行権限を付与する
対象のGoogleアカウント
- Googleユーザーアカウント
- Googleサービスアカウント
手順
- 外部GoogleアカウントをDatahubに登録します
- ナビゲーションの [データハブ設定] を開きます
- [サービスアカウント管理] のタブを開きます
- [BQクエリ実行権限付与済みアカウント]の[権限付与]ボタンを押し、権限付与したいGoogleアカウントを登録します
- 権限付与後、参照したいデータセットで当該Googleアカウントに対する共有設定をします
- 参考: データセットを外部に共有する
「権限付与」ボタンが表示されない場合
「権限付与可能な数」の上限が0の場合やすでに利用数が上限を超えている場合、「権限付与」ボタンは表示されません。このドキュメントのURLを添えて、上限を超えている旨をチャットサポートにご連絡ください。
「BQクエリ実行権限付与」で付与されるCloud IAM権限
アカウントに付与されるCloud IAM上の権限は、次の通りです。
prd-karte-service-account-2プロジェクト(アカウント管理用)
bigquery.jobs.create
resourcemanager.projects.get
resourcemanager.projects.list
prd-karte-per-clientプロジェクト(Datahubデータ管理用)
resourcemanager.projects.get
「BQクエリ実行権限」は、KARTEプロジェクト横断で共有される権限です
「BQクエリ実行権限付与」で付与されるCloud IAM権限は、Datahub側で管理されるGoogle Cloud環境に対する権限です。本環境はKARTEのプロジェクト横断で共有されます。
複数のKARTEプロジェクトのDatahubデータセットを同一Googleアカウントの権限でそれぞれ参照したい場合であっても、「BQクエリ実行権限付与」を行うのはいずれか一方のKARTEプロジェクトのみで問題ありません。
※ なお、個々のDatahubデータセット自体の参照権限については、当然ながらKARTEプロジェクト横断で勝手に共有されるということはありません。
外部Googleアカウントからのクエリ実行は、1TiB/日までに制限されています
Datahubで実行する通常のサービスアカウントに対するクエリリソース上限とは別に、外部のGoogleアカウントからのクエリ実行は、1TiB/日(アカウント毎)までに制限されています。制限を超えると、クエリを実行できなくなる可能性があります。
KARTEが払い出したGCSバケットへの参照権限を付与する
KARTEが払い出すGCSバケットについては、こちらをご覧ください。
対象のGoogleアカウント
- Googleサービスアカウント
※Googleユーザーアカウントへの権限付与はできません
手順
- ナビゲーションの [データハブ設定] を開きます
- [サービスアカウント管理] のタブを開きます
- [GCSバケットへの権限付与済みGoogleサービスアカウント]の[権限付与]ボタンを押し、権限付与したいGoogleサービスアカウントを登録します
- [外部Googleサービスアカウント] に登録済みの場合は
登録済みサービスアカウント
を、それ以外の場合は未登録のサービスアカウント
を選択してください
- [外部Googleサービスアカウント] に登録済みの場合は
Updated 9 months ago