はじめに
複数プロジェクトでBigQueryを利用していると、プロジェクトまたぎのビューを利用したい場面が度々訪れるかと思います。そこに権限の問題が絡んでくると非常に厄介ですが、当社でもこの問題を踏んだことがありました。
当社ではBigQueryにてデータレイクを構築しているのですが、セキュリティの観点から以下のような条件を設けていました。
- データレイクとデータウェアハウスは別プロジェクトで作成し、限られたユーザーのみデータレイクプロジェクトへのアクセス権を付与する。
- データレイクプロジェクトのデータを参照する場合は、データウェアハウスプロジェクトからデータレイクプロジェクトへのビューを作成して参照させる。
プロジェクトの構造は以下の通りです。
|-- 親フォルダ
| |-- データレイクプロジェクト
| | |-- ビューで参照したいテーブル
| |-- データウェアハウスプロジェクト
| | |-- 今回作成するビュー
こうした設定を行う場合、データウェアハウスの閲覧権限のみを持つユーザーがビューにクエリすると、データレイクへのアクセス権限がない為にエラーになってしまいます。扱うデータの機密性の観点からデータレイクを扱えるユーザーは限定したい為、クエリ発行ユーザーに権限を持たせる以外の方法でこれを解決する必要がありました。
0. 承認済みビュー
BQの承認済みビュー機能を利用します。詳細は公式ドキュメントをご確認下さい。
1. ビューの作成
まずは通常通りプロジェクトまたぎのビューを作成します。以下は先述した当社の例ですが、データレイクプロジェクトにはビューで参照したいテーブルがあり、データウェアハウスプロジェクトにて当該のビューを作成します。
|-- 親フォルダ
| |-- データレイクプロジェクト
| | |-- ビューで参照したいテーブル
| |-- データウェアハウスプロジェクト
| | |-- 今回作成するビュー
2. ビューの承認
ビューの承認設定を行います。参照されるプロジェクト(当社の例ではデータレイクプロジェクト)にて当該のデータセットを開き、共有データセットを選択します。
3. データセットの承認
共有データセットを選択すると以下のような画面になります。
ここで承認済みのビュータブに切り替え、下段のプロジェクト・データセット・ビューを選択し、画面下部の完了ボタンを押せば設定完了です。
まとめ
承認済みビュー設定を用いることで、権限に配慮しつつプロジェクトまたぎのビューを設定することができました。BigQueryは細かな要件にも対応でき、なかなか使い勝手が良い印象です。