メインコンテンツまでスキップ

BigQuery Intelligence を設定する

始める前に

BigQuery Intelligence には組織レベルで特定の権限が必要です。詳細は、BigQuery Intelligence permissions を参照してください。

BigQuery Intelligence を設定する

BigQuery Intelligence を設定するには、次の手順を実行します。

  1. Google Cloud Organization を接続 して、DoiT プラットフォームに連携します。DoiT のワークロード用のアイデンティティを設定する際は、必ず service account のインパーソネーションを許可してください。

  2. サービス アカウントを更新 して、BigQuery Intelligence に必要な権限を付与します。BigQuery editions 上でワークロードを実行している場合は、BigQuery Intelligence Editions 用の権限も付与してください。

    BigQuery Intelligence Insights の権限を付与すると、DoiT Insights が BigQuery の使用状況に基づく実行可能な推奨事項を生成できます。これらは BigQuery Intelligence のセットアップ自体には直接関係しないため、後から有効化しても問題ありません。

    注意

    現在の実装では、BigQuery Intelligence は単一のサービス アカウントで動作します。複数のサービス アカウントに権限を付与した場合、BigQuery Intelligence は最初のサービス アカウントに対してのみ動作します。

セットアップが完了すると、BigQuery Intelligence は直近 30 日間の履歴データをバックフィルし、Google Cloud BigQuery の使用パターンに関する情報の収集を開始します。BigQuery Intelligence のダッシュボードに統計情報と推奨事項がすべて反映されるまで、最大 24 時間かかる場合があります。

VPC Service Controls

環境にて VPC Service Controls をデプロイしている場合は、BigQuery Intelligence からの context-aware access を許可するため、組織レベルで設定する必要があります。

  1. アクセス ポリシーを作成します。

    1. Google Cloud コンソールで、Access Context Manager に移動します。求められたら、組織を選択します。

    2. 次の設定で基本アクセス レベルを作成します。

      1. 「Access level title」フィールドに DoiT Console Access と入力します。

      2. 「Basic mode」を選択します。

      3. 「When condition is met, return」オプションで「TRUE」を選択します。

      4. 「Conditions」セクションで「Add attribute」→「IP Subnetworks」を選択し、「IP Subnetworks」ボックスで「Private IP」を選択します。

      5. 「Select VPC networks」を選択し、「Import options」リストで「Manually enter VPC network address」を選択して、//compute.googleapis.com/projects/me-doit-intl-com/global/networks/doit-vpc-ca4b552 を入力します。

      6. 設定を保存します。

  2. 次の API へのアクセスを許可するために、service perimeter を作成 します。

    • BigQuery Reservation API
    • BigQuery API
    • BigQuery Data Policy API
    • BigQuery Data Transfer API
    • BigQuery Migration API
    • Cloud Logging API

  3. 「Access level」ペインで、手順 1 で作成した DoiT Console Access のアクセス ポリシーを追加します。

  4. 「Ingress policy」ペインで、ログ シンクの書き込みアイデンティティ用の新しいルールを追加します。

    1. FROM: 「Identities & groups」を選択し、組織のログ シンク書き込みアイデンティティ(ORG_ID を更新)を選択します:[email protected]

    2. TO: 「Projects」を選択し、DoiT コンソールのサービス アカウントのプロジェクト(aeo-ipt-svc-accounts)を選択します。

    3. 「Selected service BigQuery API」については「all methods」を選択します。

最終更新