チェックポイント
Create a lake, zone, and asset in Dataplex
/ 25
Grant Dataplex Data Reader role on a Dataplex asset to another user
/ 25
Grant Dataplex Data Writer role on a Dataplex asset to another user
/ 25
Upload file to Cloud Storage bucket as a Dataplex Data Writer
/ 25
Dataplex でのセキュリティの実装
GSP1157
概要
Dataplex は、データレイク、データ ウェアハウス、データマートに分散したデータの一元的な検出、管理、モニタリング、統制を実現し、大規模な分析を支援するインテリジェントなデータ ファブリックです。
Dataplex は柔軟なセキュリティ モデルを備えており、どのユーザーが Dataplex リソースにアクセスしてアクションを実行できるかを管理できます。具体的には、Dataplex のセキュリティはさまざまな Dataplex IAM ロールを使用して実装されており、これらのロールをユーザーに付与することで、Dataplex レイクの管理、Cloud Storage バケットや BigQuery データセットなどのアタッチされたアセットを介したレイクデータへのアクセス、レイクに接続されたデータに関するメタデータへのアクセスなどの権限を与えることができます。
このラボでは、Dataplex でのセキュリティの実装方法について学びます。そのために、Google Cloud プロジェクトに Dataplex 管理者としてログインし、新しい Dataplex リソースを作成してから、Dataplex IAM ロールを他のユーザーに割り当ててテストします。さらに、その特定の Dataplex アセットを変更するための適切な IAM ロールを付与されたユーザーとして、新しいファイルを Cloud Storage バケットにアップロードします。
演習内容
- Dataplex でレイク、ゾーン、アセットを作成する
- Dataplex IAM ロールを他のユーザーに割り当てる
- 異なる Dataplex IAM ロールを持つ別々のユーザーとして Dataplex アセットへのアクセスをテストする
- Dataplex アセットとして管理されている Cloud Storage バケットに新しいファイルをアップロードする
設定と要件
ラボを開始した後、ユーザー 1(
[ラボを開始] ボタンをクリックする前に
こちらの手順をお読みください。ラボの時間は記録されており、一時停止することはできません。[ラボを開始] をクリックするとスタートするタイマーは、Google Cloud のリソースを利用できる時間を示しています。
このハンズオンラボでは、シミュレーションやデモ環境ではなく、実際のクラウド環境を使ってご自身でラボのアクティビティを行うことができます。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。
このラボを完了するためには、下記が必要です。
- 標準的なインターネット ブラウザ(Chrome を推奨)
- ラボを完了するために十分な時間を確保してください。ラボをいったん開始すると一時停止することはできません。
ラボを開始して Google Cloud コンソールにログインする方法
-
[ラボを開始] ボタンをクリックします。ラボの料金をお支払いいただく必要がある場合は、表示されるポップアップでお支払い方法を選択してください。 左側の [ラボの詳細] パネルには、以下が表示されます。
- [Google コンソールを開く] ボタン
- 残り時間
- このラボで使用する必要がある一時的な認証情報
- このラボを行うために必要なその他の情報(ある場合)
-
[Google コンソールを開く] をクリックします。 ラボでリソースが起動し、別のタブで [ログイン] ページが表示されます。
ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておきましょう。
注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。 -
必要に応じて、[ラボの詳細] パネルから [ユーザー名] をコピーして [ログイン] ダイアログに貼り付けます。[次へ] をクリックします。
-
[ラボの詳細] パネルから [パスワード] をコピーして [ようこそ] ダイアログに貼り付けます。[次へ] をクリックします。
重要: 認証情報は左側のパネルに表示されたものを使用してください。Google Cloud Skills Boost の認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。 -
その後次のように進みます。
- 利用規約に同意してください。
- 一時的なアカウントなので、復元オプションや 2 要素認証プロセスは設定しないでください。
- 無料トライアルには登録しないでください。
その後このタブで Cloud Console が開きます。
Dataplex API を有効にする
-
Google Cloud コンソールで、上部の検索バーに「Cloud Dataplex API」と入力します。
-
[マーケットプレイス] の下に表示された検索結果で、「Cloud Dataplex API」をクリックします。
-
[有効にする] をクリックします。
タスク 1. Dataplex でレイク、ゾーン、アセットを作成する
ユーザーに Dataplex リソースへのアクセス権を適用してこれをテストするには、まず Dataplex リソースをいくつか作成する必要があります。
このタスクでは、Google Cloud コンソールを使用して、顧客情報を保存するための新しい Dataplex レイクを作成し、そのレイクに未加工ゾーンを追加してから、事前に作成された Cloud Storage バケットをそのゾーン内の新しいアセットとしてアタッチします。
このタスクを完了するには、ユーザー 1(
レイクを作成する
- Google Cloud コンソールのナビゲーション メニュー()で、[分析] > [Dataplex] に移動します。
「新しい Dataplex エクスペリエンスへようこそ
」というメッセージが表示されたら、[閉じる] をクリックします。
-
[レイクの管理] の下の [管理] をクリックします。
-
[レイクを作成] をクリックします。
-
必要な情報を入力して新しいレイクを作成します。
プロパティ | 値 |
---|---|
表示名 | Customer Info Lake |
ID | デフォルト値のままにします。 |
リージョン |
上記以外はデフォルト値のままにします。
- [作成] をクリックします。
レイクが作成されるまで 3 分ほどかかる場合があります。
レイクにゾーンを追加する
-
[管理] タブで、レイクの名前をクリックします。
-
[ゾーンを追加] をクリックします。
-
必要な情報を入力して新しいゾーンを作成します。
プロパティ | 値 |
---|---|
表示名 | Customer Raw Zone |
ID | デフォルト値のままにします。 |
タイプ | 未加工ゾーン |
データのロケーション | リージョン |
上記以外はデフォルト値のままにします。
たとえば、[検出の設定] の下の [メタデータの検出を有効にする] はデフォルトで有効になっており、許可されたユーザーはこのゾーン内のデータを検出できます。
- [作成] をクリックします。
ゾーンが作成されるまで 2 分ほどかかる場合があります。
ゾーンにアセットをアタッチする
-
[ゾーン] タブで、ゾーンの名前をクリックします。
-
[アセット] タブで、[アセットを追加] をクリックします。
-
[アセットを追加] をクリックします。
-
必要な情報を入力して新しいアセットをアタッチします。
プロパティ | 値 |
---|---|
タイプ | Storage バケット |
表示名 | Customer Online Sessions |
ID | デフォルト値のままにします。 |
バケット名 |
|
上記以外はデフォルト値のままにします。
この Cloud Storage バケットにはファイルが一つも含まれていないため、すぐにゾーンにアタッチできます。新しく追加したファイルは自動的にこのゾーンに統合されます。
-
[完了] をクリックします。
-
[続行] をクリックします。
-
[検出の設定] で [継承] を選択し、検出の設定をゾーンレベルから継承します。[続行] をクリックします。
-
[送信] をクリックします。
[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。
タスク 2. Dataplex データリーダーのロールを別のユーザーに割り当てる
Google が推奨する最小権限の原則に沿って、Dataplex 管理者は、プロジェクト、レイク、ゾーン、個々のアセット(Cloud Storage バケットなど)のレベルで Dataplex IAM ロールをユーザーに付与できます。
このタスクでは、Google Cloud コンソールを使用して、Dataplex データリーダーのロールを別のユーザーに割り当てます。このロールを持つユーザーには、Dataplex リソースとして管理されている Cloud Storage バケットへの読み取りアクセス権が与えられます。
このタスクを完了するには、引き続きユーザー 1(
-
Google Cloud コンソールのナビゲーション メニュー()の [分析] で、[Dataplex] > [安全] に移動します。
-
[Dataplex リソース] メニューで、プロジェクト ID(
)の横の矢印を開きます。 -
レイク名の横の矢印を開きます。
-
ゾーン名の横の矢印を開きます。
-
アセット名(Customer Online Sessions)をクリックします。
-
[アクセス権を付与] をクリックします。
-
[新しいプリンシパル] で、ユーザー 2(
)のメールアドレスを入力します。 -
[ロールを選択] で、[Cloud Dataplex] の下の [Dataplex データリーダー] を選択します。
-
[保存] をクリックします。
[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。
ユーザー 1 としてプロジェクトからログアウトする
ユーザー 1 としてプロジェクトからログアウトします。次のタスクでは、ユーザー 2 としてプロジェクトにログインします。
-
Google Cloud コンソールの右上にあるプロフィール アイコンをクリックします。
-
[ログアウト] をクリックします。
確認のメッセージが表示されたら、[終了] をクリックします。
タスク 3. Dataplex データリーダーとして Dataplex リソースへのアクセスをテストする
アセットに対する Dataplex データリーダーのロールのみを付与されたユーザーは、Dataplex アセットを閲覧する権限はありますが、変更することはできません。たとえば、Cloud Storage バケットに対する Dataplex データリーダーのロールのみを持つユーザーは、Dataplex アセットとして管理されているバケットに新しいファイルを追加することはできません。
このタスクでは、ユーザー 2 の Dataplex リソースへのアクセスをテストするため、Google Cloud コンソールを使用して、事前に作成された Cloud Storage バケットに新しいファイルを追加できるか試します。
このタスクを完了するには、ユーザー 2(
-
Google Cloud コンソールのナビゲーション メニュー()で、[Cloud Storage] > [バケット] に移動します。
-
事前に作成されているバケット(
-bucket)をクリックします。 -
[ファイルをアップロード] をクリックします。
-
任意のファイルを選択します。
サンプル ファイルが必要な場合は、テスト用 CSV ファイルをダウンロードし、これをアップロード ファイルとして使用できます。
- [開く] をクリックします。
エラーが発生し、ファイルはバケットにアップロードされないはずです。
ユーザー 2 は Dataplex アセットへの読み取りアクセスしか許可されていないため、Cloud Storage バケットに新しいファイルをアップロードすることはできません。
ユーザー 2 としてプロジェクトからログアウトする
ユーザー 2 としてプロジェクトからログアウトします。次のタスクでは、ユーザー 1 としてプロジェクトにログインします。
-
Google Cloud コンソールの右上にあるプロフィール アイコンをクリックします。
-
[ログアウト] をクリックします。
確認のメッセージが表示されたら、[終了] をクリックします。
タスク 4. Dataplex データライターのロールを別のユーザーに割り当てる
このタスクでは、Google Cloud コンソールを使用して、バケットに対する Dataplex データライターのロールをユーザー 2 に割り当てます。これにより、ユーザー 2 は新しいファイルを追加してバケットを変更できるようになります。
このタスクを完了するには、ユーザー 1(
-
Google Cloud コンソールのナビゲーション メニュー()の [分析] で、[Dataplex] > [安全] に移動します。
-
[Dataplex リソース] メニューで、プロジェクト ID(
)の横の矢印を開きます。 -
レイク名の横の矢印を開きます。
-
ゾーン名の横の矢印を開きます。
-
アセット名(Customer Online Sessions)をクリックします。
-
ユーザー 2(
)のメールアドレスの横にある [プリンシパルを編集します](鉛筆アイコン)をクリックします。 -
[ロール] で、[Cloud Dataplex] の下の [Dataplex データライター] を選択します。
-
[保存] をクリックします。
[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。
ユーザー 1 としてプロジェクトからログアウトする
ユーザー 1 としてプロジェクトからログアウトします。次のタスクでは、ユーザー 2 としてプロジェクトにログインします。
-
Google Cloud コンソールの右上にあるプロフィール アイコンをクリックします。
-
[ログアウト] をクリックします。
確認のメッセージが表示されたら、[終了] をクリックします。
タスク 5. Dataplex データライターとして新しいファイルを Cloud Storage バケットにアップロードする
アセットに対する Dataplex データライターのロールを付与されたユーザーにはアセットを変更する権限があり、たとえば Dataplex アセットとして管理されている Cloud Storage バケットに新しいファイルを追加できます。
このタスクでは、再びユーザー 2 の Dataplex リソースへのアクセスをテストするため、Google Cloud コンソールを使用して、事前に作成された Cloud Storage バケットに新しいファイルを追加します。
このタスクを完了するには、ユーザー 2(
-
Google Cloud コンソールのナビゲーション メニュー()で、[Cloud Storage] > [バケット] に移動します。
-
事前に作成されているバケット(
-bucket)をクリックします。 -
[ファイルをアップロード] をクリックします。
-
任意のファイルを選択します。
サンプル ファイルが必要な場合は、テスト用 CSV ファイルをダウンロードし、これをアップロード ファイルとして使用できます。
- [開く] をクリックします。
ユーザー 2 は、Dataplex データライターとして Cloud Storage バケットに新しいファイルを正常にアップロードできます。
[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。
お疲れさまでした
このラボでは、Dataplex のセキュリティを実装するため、適切な Dataplex IAM ロールを別のユーザーに割り当ててこれをテストしました。これにより、そのユーザーは、Dataplex アセットとして管理されている Cloud Storage バケット内のファイルを変更できるようになりました。
Google Cloud トレーニングと認定資格
Google Cloud トレーニングと認定資格を通して、Google Cloud 技術を最大限に活用できるようになります。必要な技術スキルとベスト プラクティスについて取り扱うクラスでは、学習を継続的に進めることができます。トレーニングは基礎レベルから上級レベルまであり、オンデマンド、ライブ、バーチャル参加など、多忙なスケジュールにも対応できるオプションが用意されています。認定資格を取得することで、Google Cloud テクノロジーに関するスキルと知識を証明できます。
マニュアルの最終更新日: 2023 年 6 月 27 日
ラボの最終テスト日: 2023 年 6 月 27 日
Copyright 2024 Google LLC All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。