MENU

会員登録（無料）

PCSE#1(access)

この問題のディスカッション

PCSE#1(access)

あるプロジェクトでデータ分析者に BigQuery のクエリ実行と参照のみを許可したい場合、最小権限の原則に最も合致する設計はどれですか。

A. 基本ロール roles/editor をプロジェクトレベルで広範に付与し、BigQuery 以外のリソース操作も自動的に許可される構成にして運用負荷を下げます
B. 事前定義ロール roles/bigquery.jobUser と roles/bigquery.dataViewer を付与する
C. カスタムロールに resourcemanager.projects.* を全付与し、プロジェクト管理権限まで含めて分析者に渡す設計を採用します
D. 基本ロール roles/owner を付与し IAM Conditions で BigQuery のみ許可する条件式を組み合わせて間接的に権限を絞ります

正解と解説ディスカッション 0

正解：B

正解の根拠

最小権限の原則では、必要な権限のみを持つ事前定義ロールを優先して付与します。クエリ実行には jobUser、データ参照には dataViewer の組合せが推奨されます。

ロール	用途
bigquery.jobUser	クエリジョブ実行
bigquery.dataViewer	データセット参照

不正解の理由

A: editor は権限が広すぎ最小権限に反します。
C: カスタムロールでも全付与は過剰です。
D: owner 付与は条件があっても危険です。

参考：BigQuery IAM roles

コメント

コメント

コメントするコメントをキャンセル