データポータル プロを Google Cloud プロジェクトにリンクする(MAU 版)

組織全体の、1 か月のアクティブ ユーザー料金モデルのサブスクリプション用にデータポータル Pro プロジェクトを設定する方法を説明します。

データポータルでは、作成したユーザー、または移管されたユーザーがアセット(レポート、データソース、データ探索)のオーナーとなります。オーナーが退職した場合、引き続きデータポータル アセットを使用できるようにするには、管理者が対象のアセットを他のユーザーに移管する必要があります。移管しなかった場合、それらのアセットは削除され、退職したユーザーのデータ認証情報が取り消されて、そのユーザーのレポートおよびデータソースは破棄されます。

一方、データポータル Pro のアセットは、Cloud Identity または Google Workspace の組織を最終的なオーナーとして階層的に編成されます。組織オーナー権限があれば、各オーナーが退職しても、データポータル アセットを引き続き使用できます。

組織オーナー権限には次のメリットがあります。

  • ユーザーが作成したデータポータル アセットは、すべて管理者が制御、管理している Google Cloud プロジェクトに保存されます。
  • データポータル Pro アセットは、作成者が退職した場合でも削除されません。
  • IAM を使用すれば、組織内のすべてのデータポータル Pro アセットにプロジェクト レベルの権限を割り当てられます。
  • データポータル Pro アセットを他のクラウド サービス(Dataplex のリネージなど)で使用できます。

組織でデータポータル Pro を使用する

組織で Data Studio Pro を使用するには、Data Studio Pro を Google Cloud プロジェクトにリンクする必要があります。必要に応じて、プロジェクトにデータポータル アセットを管理するプリンシパルを追加できます。

この手順を実施するには、データポータル アセットの管理に使用する Google Cloud プロジェクトを指定します。このプロジェクトは、データポータル Pro サブスクリプションのお支払いにも使用されます。

  1. Google Cloud コンソール アカウント管理ページに移動します。

  2. データポータル アセットの管理とお支払いに使用するプロジェクトを見つけて、プロジェクト ID をメモします。

  3. データポータルにログインします。

  4. 左側のナビゲーションで [エンタープライズ管理者] をクリックします。

  5. 表示される設定ダイアログの左側で、[プロジェクト所有権] をクリックします。

  6. [プロジェクト ID] フィールドに、Google Cloud プロジェクト ID を入力します。

2 省略可: プロジェクトにプリンシパルを追加する

個々のデータポータル ユーザーをプロジェクトに追加する必要はありませんが、組織内の他のユーザーがデータポータル プロジェクトを管理できるようにする場合は、Google Cloud コンソールの IAM Resource Managerを使用して、プロジェクトにプリンシパルを追加します。ベスト プラクティスのセクションを参考にしてください。

プリンシパルには次の IAM ロールを付与できます。

:

  • 現在、これらのロールでは Data Studio(データポータル)での名前を使用しています。
  • データポータルでは、カスタムロールはサポートされていません。
  • 各ロールに含まれる個別の IAM 権限については、IAM 権限のリファレンスをご覧ください。

ロール

説明

Data Studio Admin(データポータル管理者)

roles/datastudio.admin

レポートとデータソースに対するすべての権限が含まれます。

Data Studio Asset Viewer(データポータル アセット閲覧者)

roles/datastudio.viewer

レポートとデータソースに対する閲覧権限が含まれます。

Data Studio Asset Editor(データポータル アセット編集者)

roles/datastudio.editor

レポートとデータソースに対する編集権限が含まれます。削除権限は含まれません。

おすすめの方法

データポータル Pro プロジェクトの設定は、次のベスト プラクティスに沿って行うことをおすすめします。

データポータル Pro アセット用の個別の Google Cloud クラウド プロジェクトを作成する

データポータル Pro アセットの管理専用プロジェクトを作成することをおすすめします。管理専用プロジェクトを他のプロジェクトと分けることで、プロジェクトの用途を明確にし、誤ってアセットを削除してしまうことを防げます。

プロジェクトのプリンシパル数を制限する

プロジェクトに追加するプリンシパルの数は最小限に抑えてください。なお、データポータルは、プロジェクトへのアクセス権がなくても使用できます。その代わりに、データポータル プロジェクトへのアクセス権は、一部の限られたユーザーに管理機能を委任するための方法として使用できます。

最小権限の原則に従う

プロジェクトに追加したユーザーには、組織のポリシーに則って、データポータル アセットの管理に必要な最小限のロールを付与してください。

その際は、データポータルに固有のロールを使用し、IAM の基本ロールは使用しないでください。基本ロールには、すべての Google Cloud サービスにかかわる権限が数多く含まれています。本番環境では、他に選択肢がない限り、基本ロールを付与しないでください。代わりに、ニーズに合った最低減の事前定義ロールを付与しましょう。

詳しくは、IAM を安全に使用する方法をご覧ください。

組織の変更

データポータル Pro を 1 つの組織のプロジェクトにリンクしていて、後からそのプロジェクトを別の組織に移管する場合は、次の手順を実施します。

  1. Google Cloud コンソールで新しい組織を設定します。
  2. 元のプロジェクト、ユーザー、リソースを、現在の組織から新しい組織に移行します。詳細についてはプロジェクトの移行をご覧ください。
  3. データポータルにログインします。
  4. 左側のナビゲーションで [エンタープライズ管理者] をクリックします。
  5. 表示される設定ダイアログの左側で、[プロジェクト所有権] をクリックします。
  6. [プロジェクト ID] フィールドに、Google Cloud プロジェクト ID を入力します。
  7. [プロジェクトをリンク] をクリックします。

その他の移管シナリオについては、Cloud カスタマーケアにお問い合わせください。

Google Cloud のリンクに関する制限事項

  • データポータルをリンクできるプロジェクトは 1 つに限られます。
  • すでにプロジェクトにリンクされているデータポータルは、別のプロジェクトにリンクできません。
  • データポータル Pro プロジェクトには Google Cloud リーエンが設定されているため、アセットが誤って削除されることはありません。ただし、手動でプロジェクトを削除すると、そのプロジェクト内のすべてのアセットが完全に削除されるため、慎重に操作してください。