このガイドは、Microsoft Fabric のミラー化された BigQuery でデータ セキュリティを確立するのに役立ちます。
Important
オンプレミス データ ゲートウェイ (OPDG) を使用した Google BigQuery のミラーリングをサポートしています。 OPDG 3000.286.6 以上がサポートされています。 VNET もサポートされています。
セキュリティに関する考慮事項
次のアクセス許可を含む BigQuery データベースのユーザーアクセス許可が必要です。
bigquery.datasets.createbigquery.tables.listbigquery.tables.createbigquery.tables.exportbigquery.tables.getbigquery.tables.getDatabigquery.tables.updateDatabigquery.routines.getbigquery.routines.listbigquery.jobs.createstorage.buckets.createstorage.buckets.liststorage.objects.createstorage.objects.deletestorage.objects.listiam.serviceAccounts.signBlob
テーブル メタデータの取得と変更履歴の構成 (必須)
BigQueryAdmin ロールと StorageAdmin ロールには、これらのアクセス許可が含まれている必要があります。 変更履歴が有効かどうかを判断し、主キーまたは複合キー情報を取得するには、次のアクセス許可が必要です。
ユーザーには、BigQuery インスタンスへのアクセスを許可するロールが少なくとも 1 つ割り当てられている必要があります。 BigQuery データ ソースにアクセスするためのネットワーク要件を確認します。 Google BigQuery for On-Premises Data Gateway (OPDG) のミラーリングを使用している場合、ミラーリングを成功させるには OPDG バージョン 3000.286.6 以上が必要です。
必要なアクセス許可
バケットを手動で作成して storage.buckets.create 権限の付与を省略するには、次のコマンドを使用できます。
bigquery.tables.getbigquery.tables.listbigquery.routines.getbigquery.routines.list
- Google コンソール内で Cloud Storage に移動し、[ バケット] を選択します。
- [ 作成] を選択し、次の形式でバケットに名前を付けます (大文字と小文字が区別されます)。
<projectid>_fabric_staging_bucket - バケットの場所/リージョンが、ミラーリングを計画している GCP プロジェクトと同じであることを確認します。
- を選択してを作成します。 ミラーリング システムはバケットを自動的に検出します。
ユース ケースによっては、さらに多くのアクセス許可が必要になる場合があります。 最低限必要なアクセス許可は、変更履歴を操作し、さまざまなサイズのテーブル (10 GB を超えるテーブル) を処理するために必要です。 10 GB を超えるテーブルを操作していない場合でも、これらの最小限のアクセス許可をすべて有効にして、ミラーリングの使用を成功させます。
変更履歴とテーブル データの取得 (必須)
アクセス許可の詳細については、ストリーミング データに必要な権限、変更履歴アクセスに必要なアクセス許可、クエリ結果を書き込むための必要なアクセス許可に関する Google BigQuery ドキュメントを参照してください。
変更履歴とテーブル データを読み取るために、次のアクセス許可が必要です。
Important
ソース BigQuery ウェアハウスで確立された詳細なセキュリティは、Microsoft Fabric のミラー化されたデータベースで再構成する必要があります。 詳細については、 Microsoft Fabric での SQL の詳細なアクセス許可に関するセクションを参照してください。
必要なアクセス許可
bigquery.tables.getDatabigquery.jobs.createbigquery.jobs.getbigquery.jobs.listbigquery.readsessions.createbigquery.readsessions.getData
変更履歴機能の有効化 (必須)
次 のいずれかの オプションを使用して、ソース BigQuery テーブルで変更履歴を有効にする必要があります。
オプション 1: アクセス許可を有効にする
bigquery.tables.update
テーブルの変更履歴を有効にします。
オプション 2: GCP でテーブル オプションを有効にする
次の表のオプションが TRUEに設定されていることを確認します。
enable_change_history
ステージング用に Google Cloud Storage にデータをエクスポートし、OneLake にコピーする (必須)
ステージングのために BigQuery データを Google Cloud Storage にエクスポートし、OneLake にコピーするには、次のアクセス許可が必要です。
必要なアクセス許可
bigquery.tables.exportstorage.objects.createstorage.objects.liststorage.buckets.getiam.serviceAccounts.signBlob
ステージング用の Google Cloud Storage バケット (必須)
ステージング用に BigQuery テーブル データをエクスポートするには、Google Cloud Storage バケットが必要です。
バケット作成オプション
次の方法のいずれかを使用します。
オプション 1: バケットの自動作成を許可する
次のアクセス許可を付与します。
storage.buckets.create
オプション 2: ステージング バケットを手動で作成する
次の名前付け規則を使用してバケットを作成します。 <your_project_id_in_lowercase>_fabric_staging_bucket
バケットに必要な条件
- バケットは 、BigQuery データセットと同じ場所/リージョンに存在する必要があります。
- ミラーリング システムは、バケットが存在すると自動的に検出されます。
データセットの一覧表示 (必須)
必要なアクセス許可
bigquery.datasets.get
プロジェクトの一覧表示 (必須)
必要なアクセス許可
resourcemanager.projects.get
ロールとアクセスの要件
BigQuery 管理者ロールとストレージ管理者ロールには、通常、上記のアクセス許可が含まれます。
ユーザーには、ターゲット BigQuery プロジェクトとデータセットへのアクセスを許可するロールを少なくとも 1 つ割り当てる必要があります。
ネットワークとゲートウェイの要件
BigQuery データ ソースにアクセスするためのネットワーク要件を確認します。
オンプレミス データ ゲートウェイ (OPDG) で Google BigQuery のミラーリングを使用している場合は、次を使用する必要があります。
- OPDG バージョン 3000.286.6 以降
追加メモ
ユース ケースによっては、さらに多くのアクセス許可が必要になる場合があります。 上記のアクセス許可は、次に 必要な最小限 のアクセス許可を表します。
- 変更履歴の操作
- 10 GB を超えるテーブルなど、さまざまなサイズのテーブルの処理
現在、10 GB を超えるテーブルを使用していない場合でも、ミラーリングを正常に実行するには、すべての最小アクセス許可を有効にすることをお勧めします。
詳細については、以下を参照してください:
Important
ソース BigQuery ウェアハウスで定義されている詳細なセキュリティは、Microsoft Fabric のミラー化されたデータベースで再構成する必要があります。 詳細については、 Microsoft Fabric での SQL の詳細なアクセス許可に関するセクションを参照してください。
データ保護機能
テーブルの列フィルターと述語に基づいた行フィルターを、Microsoft Fabric でロールやユーザーに対して設定して保護できます。
動的データ マスクを使用して、非管理者から機密データをマスクすることもできます。