始める前に
- ラボでは、Google Cloud プロジェクトとリソースを一定の時間利用します
- ラボには時間制限があり、一時停止機能はありません。ラボを終了した場合は、最初からやり直す必要があります。
- 画面左上の [ラボを開始] をクリックして開始します
チェックポイント
Create a lake, zone, and asset in Dataplex
/ 25
Grant Dataplex Data Reader role on a Dataplex asset to another user
/ 25
Grant Dataplex Data Writer role on a Dataplex asset to another user
/ 25
Upload file to Cloud Storage bucket as a Dataplex Data Writer
/ 25
700 以上のラボとコースにアクセス
Dataplex でのセキュリティの実装
ラボの手順とタスク
700 以上のラボとコースにアクセス
GSP1157
概要
Dataplex は、データレイク、データ ウェアハウス、データマートに分散したデータの一元的な検出、管理、モニタリング、統制を実現し、大規模な分析を支援するインテリジェントなデータ ファブリックです。
Dataplex は柔軟なセキュリティ モデルを備えており、管理者はどのユーザーが Dataplex リソースにアクセスして利用できるかを管理できます。具体的には、Dataplex のセキュリティはさまざまな Dataplex IAM ロールを使用して実装されており、これらのロールを付与されたユーザーは、Dataplex レイクの管理、Cloud Storage バケットや BigQuery データセットなどのアタッチされたアセットを介したレイクデータへのアクセス、レイクに接続されたデータに関するメタデータへのアクセスを行うことができます。
このラボでは、Google Cloud プロジェクトに Dataplex 管理者としてログインし、Dataplex でセキュリティを実装する方法について学びます。まず、新しい Dataplex リソースを作成してから、Dataplex IAM ロールを他のユーザーに割り当ててテストします。さらに、特定の Dataplex アセットを変更するための適切な IAM ロールを付与されたユーザーとして、新しいファイルを Cloud Storage バケットにアップロードします。
演習内容
- Dataplex でレイク、ゾーン、アセットを作成する
- Dataplex IAM ロールを他のユーザーに割り当てる
- 異なる Dataplex IAM ロールを持つ別のユーザーとして、Dataplex アセットへのアクセスをテストする
- Dataplex アセットとして管理されている Cloud Storage バケットに新しいファイルをアップロードする
設定と要件
ラボを開始した後、ユーザー 1(
[ラボを開始] ボタンをクリックする前に
こちらの説明をお読みください。ラボには時間制限があり、一時停止することはできません。タイマーは、Google Cloud のリソースを利用できる時間を示しており、[ラボを開始] をクリックするとスタートします。
このハンズオンラボでは、シミュレーションやデモ環境ではなく実際のクラウド環境を使って、ラボのアクティビティを行います。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。
このラボを完了するためには、下記が必要です。
- 標準的なインターネット ブラウザ(Chrome を推奨)
- ラボを完了するための時間(開始後は一時停止できません)
ラボを開始して Google Cloud コンソールにログインする方法
-
[ラボを開始] ボタンをクリックします。ラボの料金をお支払いいただく必要がある場合は、表示されるダイアログでお支払い方法を選択してください。 左側の [ラボの詳細] ペインには、以下が表示されます。
- [Google Cloud コンソールを開く] ボタン
- 残り時間
- このラボで使用する必要がある一時的な認証情報
- このラボを行うために必要なその他の情報(ある場合)
-
[Google Cloud コンソールを開く] をクリックします(Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウで開く] を選択します)。
ラボでリソースがスピンアップし、別のタブで [ログイン] ページが表示されます。
ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておきましょう。
注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。 -
必要に応じて、下のユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。
{{{user_0.username | "Username"}}} [ラボの詳細] ペインでもユーザー名を確認できます。
-
[次へ] をクリックします。
-
以下のパスワードをコピーして、[ようこそ] ダイアログに貼り付けます。
{{{user_0.password | "Password"}}} [ラボの詳細] ペインでもパスワードを確認できます。
-
[次へ] をクリックします。
重要: ラボで提供された認証情報を使用する必要があります。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。 -
その後次のように進みます。
- 利用規約に同意してください。
- 一時的なアカウントなので、復元オプションや 2 要素認証プロセスは設定しないでください。
- 無料トライアルには登録しないでください。
その後、このタブで Google Cloud コンソールが開きます。
Dataplex API を有効にする
-
Google Cloud コンソールで、上部の検索バーに「Cloud Dataplex API」と入力します。
-
[Marketplace] の下に表示される検索結果で、「Cloud Dataplex API」をクリックします。
-
まだ有効になっていない場合は、[有効にする] をクリックします。
タスク 1. Dataplex でレイク、ゾーン、アセットを作成する
ユーザーに Dataplex リソースへのアクセス権を適用してこれをテストするには、まず Dataplex リソースをいくつか作成する必要があります。
このタスクではGoogle Cloud コンソールを使用し、顧客情報を保存するための新しい Dataplex レイクを作成して未加工データ用ゾーンを追加してから、事前に作成されている Cloud Storage バケットをそのゾーンで新しいアセットとしてアタッチします。
このタスクを完了するには、プロジェクト内に新しい Dataplex リソースを作成する権限を持つ Dataplex 管理者であるユーザー 1(
レイクを作成する
- Google Cloud コンソールのナビゲーション メニュー(
)で [すべてのプロダクトを表示] > [分析] > [Dataplex Universal Catalog] の順に選択します。
「新しい Dataplex エクスペリエンスへようこそ」というメッセージが表示されたら、[閉じる] をクリックします。
-
[レイクの管理] で [管理] をクリックします。
-
[レイクを作成] をクリックします。
-
必要な情報を入力して新しいレイクを作成します。
| プロパティ | 値 |
|---|---|
| 表示名 | Customer Info Lake |
| ID | デフォルト値のままにします。 |
| リージョン |
上記以外はデフォルト値のままにします。
- [作成] をクリックします。
レイクが作成されるまでに 3 分ほどかかる場合があります。
ゾーンをレイクに追加する
-
[管理] タブでレイクの名前をクリックします。
-
[ゾーンを追加] をクリックします。
-
必要な情報を入力して新しいゾーンを作成します。
| プロパティ | 値 |
|---|---|
| 表示名 | Customer Raw Zone |
| ID | デフォルト値のままにします。 |
| 種類 | 未加工データ用ゾーン |
| データのロケーション | リージョン |
上記以外はデフォルト値のままにします。
たとえば、[検出の設定] の [メタデータの検出を有効にする] はデフォルトで有効になっており、許可されたユーザーはこのゾーン内のデータを検出できます。
- [作成] をクリックします。
ゾーンが作成されるまでに 2 分ほどかかる場合があります。
アセットをゾーンにアタッチする
-
[ゾーン] タブでゾーンの名前をクリックします。
-
[アセット] タブで [アセットを追加] をクリックします。
-
[アセットを追加] をクリックします。
-
必要な情報を入力して新しいアセットをアタッチします。
| プロパティ | 値 |
|---|---|
| 種類 | Storage バケット |
| 表示名 | Customer Online Sessions |
| ID | デフォルト値のままにします。 |
| バケット名 |
|
上記以外はデフォルト値のままにします。
この Cloud Storage バケットにはファイルが一つも含まれておらず、すぐにゾーンにアタッチできます。新しく追加されたファイルは、自動的にこのゾーンに統合されます。
-
[完了] をクリックします。
-
[続行] をクリックします。
-
[検出の設定] で、検出の設定をゾーンレベルから継承するために [継承] を選択し、[続行] をクリックします。
-
[送信] をクリックします。
[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。
タスク 2. Dataplex データリーダーのロールを別のユーザーに割り当てる
Google が推奨する最小権限の原則に沿って、Dataplex 管理者はプロジェクト、レイク、ゾーン、個々のアセット(Cloud Storage バケットなど)のレベルで Dataplex IAM ロールをユーザーに付与できます。
このタスクでは Google Cloud コンソールを使用して、Dataplex データリーダーのロールを別のユーザーに割り当てて、Dataplex リソースとして管理されている Cloud Storage バケットへの読み取りアクセス権を付与します。
このタスクを完了するには、適切な Dataplex IAM ロールを他のユーザーに付与する権限を持つユーザー 1(
-
Google Cloud コンソールのナビゲーション メニュー(
-
[Dataplex リソース] メニューで、プロジェクト ID(
)の横にある矢印をクリックします。 -
レイク名の横の矢印をクリックします。
-
ゾーン名の横の矢印をクリックします。
-
アセット名(Customer Online Sessions)をクリックします。
-
[アクセス権を付与] をクリックします。
-
[新しいプリンシパル] で、ユーザー 2(
)のメールアドレスを入力します。 -
[ロールを選択] の [Cloud Dataplex] で、[Dataplex データリーダー] を選択します。
-
[保存] をクリックします。
[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。
ユーザー 1 としてプロジェクトからログアウトする
ユーザー 1 としてプロジェクトからログアウトします。次のタスクでは、ユーザー 2 としてプロジェクトにログインします。
-
Google Cloud コンソールの右上にあるプロフィール アイコンをクリックします。
-
[ログアウト] をクリックします。
確認のメッセージが表示されたら、[終了] をクリックします。
タスク 3. Dataplex データリーダーとして、Dataplex リソースへのアクセスをテストする
アセットに対して Dataplex データリーダーのロールのみを付与されているユーザーは、Dataplex アセットを閲覧できますが、変更することはできません。たとえば、Cloud Storage バケットについては、Dataplex アセットとして管理されているバケットに新しいファイルを追加できません。
このタスクでは、ユーザー 2 による Dataplex リソースへのアクセスをテストするために、Google Cloud コンソールを使用して、事前に作成されている Cloud Storage バケットに新しいファイルを追加してみます。
このタスクを完了するには、ユーザー 2(
-
Google Cloud コンソールのナビゲーション メニュー(
-
事前に作成されているバケット(
-bucket)をクリックします。 -
[ファイルをアップロード] をクリックします。
-
任意のファイルを選択します。
サンプル ファイルが必要な場合は、テスト用 CSV ファイルをダウンロードし、アップロード ファイルとして使用できます。
- [開く] をクリックします。
エラーが発生し、ファイルがバケットにアップロードされないはずです。
ユーザー 2 は Dataplex アセットの読み取りしか許可されていないため、Cloud Storage バケットに新しいファイルをアップロードすることはできません。
ユーザー 2 としてプロジェクトからログアウトする
ユーザー 2 としてプロジェクトからログアウトします。次のタスクでは、ユーザー 1 としてプロジェクトにログインします。
-
Google Cloud コンソールの右上にあるプロフィール アイコンをクリックします。
-
[ログアウト] をクリックします。
確認のメッセージが表示されたら、[終了] をクリックします。
タスク 4. Dataplex データライターのロールを別のユーザーに割り当てる
このタスクではGoogle Cloud コンソールを使用して、バケットに対する Dataplex データライターのロールをユーザー 2 に割り当て、新しいファイルを追加してバケットを変更できるようにします。
このタスクを完了するには、適切な Dataplex IAM ロールを他のユーザーに付与する権限を持つユーザー 1(
-
Google Cloud コンソールのナビゲーション メニュー(
-
[Dataplex リソース] メニューで、プロジェクト ID(
)の横にある矢印をクリックします。 -
レイク名の横の矢印をクリックします。
-
ゾーン名の横の矢印をクリックします。
-
アセット名(Customer Online Sessions)をクリックします。
-
ユーザー 2(
)のメールアドレスの横にある [プリンシパルを編集します](鉛筆アイコン)をクリックします。 -
[ロール] の [Cloud Dataplex] で、[Dataplex データライター] を選択します。
-
[保存] をクリックします。
[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。
ユーザー 1 としてプロジェクトからログアウトする
ユーザー 1 としてプロジェクトからログアウトします。次のタスクでは、ユーザー 2 としてプロジェクトにログインします。
-
Google Cloud コンソールの右上にあるプロフィール アイコンをクリックします。
-
[ログアウト] をクリックします。
確認のメッセージが表示されたら、[終了] をクリックします。
タスク 5. Dataplex データライターとして新しいファイルを Cloud Storage バケットにアップロードする
アセットに対する Dataplex データライターのロールが付与されているユーザーにはアセットを変更する権限があり、たとえば Dataplex アセットとして管理されている Cloud Storage バケットに新しいファイルを追加できます。
このタスクでは、ユーザー 2 による Dataplex リソースへのアクセスをもう一度テストするために、Google Cloud コンソールを使用して、事前に作成されている Cloud Storage バケットに新しいファイルを追加します。
このタスクを完了するには、ユーザー 2(
-
Google Cloud コンソールのナビゲーション メニュー(
-
事前に作成されているバケット(
-bucket)をクリックします。 -
[ファイルをアップロード] をクリックします。
-
任意のファイルを選択します。
サンプル ファイルが必要な場合は、テスト用 CSV ファイルをダウンロードし、アップロード ファイルとして使用できます。
- [開く] をクリックします。
ユーザー 2 は Dataplex データライターとして、Cloud Storage バケットに新しいファイルを正常にアップロードできます。
[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。
お疲れさまでした
このラボでは、Dataplex のセキュリティを実装するために、適切な Dataplex IAM ロールを別のユーザーに割り当ててテストしました。これにより、そのユーザーは、Dataplex アセットとして管理されている Cloud Storage バケット内のファイルを変更できるようになりました。
Google Cloud トレーニングと認定資格
Google Cloud トレーニングと認定資格を通して、Google Cloud 技術を最大限に活用できるようになります。必要な技術スキルとベスト プラクティスについて取り扱うクラスでは、学習を継続的に進めることができます。トレーニングは基礎レベルから上級レベルまであり、オンデマンド、ライブ、バーチャル参加など、多忙なスケジュールにも対応できるオプションが用意されています。認定資格を取得することで、Google Cloud テクノロジーに関するスキルと知識を証明できます。
マニュアルの最終更新日: 2025 年 8 月 21 日
ラボの最終テスト日: 2025 年 8 月 21 日
Copyright 2025 Google LLC. All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。
