厳格な act-as モードを使用する

厳格な act-as モードでは、Dataform で次のユーザーアクションに対して追加のセキュリティチェックが有効になります。

リポジトリの作成または更新
ワークフロー構成の作成または更新
ワークフロー呼び出しの作成
リリース構成を更新する

この追加のセキュリティチェックでは、これらのアクションを実行するユーザーに、有効なサービスアカウント（ワークフローの実行に認証情報が使用されるサービスアカウント）に対する iam.serviceAccounts.actAs 権限が必要です。詳細については、サービスアカウントをリソースに関連付けるをご覧ください。

これらの権限は、次の方法で有効にできます。

リポジトリを作成する場合
strict_act_as_checks リポジトリフラグを使用して既存のリポジトリを更新する場合

必要なロール

このドキュメントのタスクを完了するために必要な権限を取得するには、管理者に次の IAM ロールを付与するよう依頼してください。

カスタムサービスアカウントに対するサービスアカウントユーザー（roles/iam.serviceAccountUser）
Logging でログを表示する: プロジェクトに対するログビューア（roles/logging.viewer）
ユーザーまたはサービスアカウントに IAM ロールを付与します。プロジェクトに対するサービスアカウント管理者（roles/iam.serviceAccountAdmin）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

有効なサービスアカウントの act-as 権限を確認する

Dataform ワークフローが安全に中断なく実行されるようにするには、使用するサービスアカウントの act-as 権限を確認することが重要です。このセクションでは、リソースの有効なサービスアカウントを特定し、Cloud Logging を使用して権限の問題を確認し、見つかった問題を解決する方法について説明します。

有効なサービスアカウントを特定する

ワークフローを実行している有効なサービスアカウントは、リソースタイプと次の条件に基づいて決定できます。

リソースの種類有効なサービスアカウント

リポジトリ

リソースの種類	有効なサービスアカウント
リポジトリ	リポジトリを作成するときにカスタムサービスアカウントを選択すると、`Repository.ServiceAccount` サービスアカウントが使用されます。それ以外の場合は、デフォルトで Dataform サービスエージェントになります。
ワークフロー構成	カスタムサービスアカウントは、ワークフロー構成を作成するときに選択できます。それ以外の場合、デフォルトはリポジトリの Dataform サービスエージェントになります。
ワークフローの呼び出し	コンパイル結果が `WORKFLOW_CONFIG` の場合、ワークフロー構成の有効なサービスアカウントが使用されます。コンパイル結果からワークフロー呼び出しを作成する場合、`WorkflowInvocation.InvocationConfig` サービスアカウントが設定されていれば、そのアカウントが使用されます。それ以外の場合、デフォルトはリポジトリの Dataform サービスエージェントになります。

リポジトリを作成するときにカスタムサービスアカウントを選択すると、Repository.ServiceAccount サービスアカウントが使用されます。

それ以外の場合は、デフォルトで Dataform サービスエージェントになります。

ワークフロー構成

カスタムサービスアカウントは、ワークフロー構成を作成するときに選択できます。

それ以外の場合、デフォルトはリポジトリの Dataform サービスエージェントになります。

ワークフローの呼び出し

コンパイル結果が WORKFLOW_CONFIG の場合、ワークフロー構成の有効なサービスアカウントが使用されます。

コンパイル結果からワークフロー呼び出しを作成する場合、WorkflowInvocation.InvocationConfig サービスアカウントが設定されていれば、そのアカウントが使用されます。

それ以外の場合、デフォルトはリポジトリの Dataform サービスエージェントになります。

Cloud Logging で権限の問題を確認する

セキュリティを強化するため、Dataform は、Dataform リソースで使用されるサービスアカウントに iam.serviceAccounts.actAs 権限がないかどうかを確認します。

これらのチェックの結果（権限に関する問題の可能性を含む）は、Cloud Logging に記録されます。これらのログを定期的に確認して、不足している iam.serviceAccounts.actAs 権限を特定し、付与する必要があります。これらのログを確認することで、Dataform ワークフローと構成が中断なく機能し続けることを確認できます。

Cloud Logging でログを確認する

Google Cloud コンソールで、[ログエクスプローラ] ページに移動します。

[ログエクスプローラ] に移動
ログを確認する Google Cloud プロジェクトを選択します。
クエリエディタで次のオプションを使用して、Dataform actAs ログをフィルタします。
- 失敗して対応が必要な actAs チェックのみを一覧表示するには、次のクエリを使用します。
```
logName: "projects/PROJECT_ID/logs/dataform.googleapis.com%2Factas_dry_run_result"
jsonPayload.dryRunResult = false
```
- すべての actAs チェックを一覧表示するには、次のクエリを使用します。
```
logName: "projects/PROJECT_ID/logs/dataform.googleapis.com%2Factas_dry_run_result"
```
PROJECT_ID は、実際のGoogle Cloud プロジェクト ID に置き換えます。
[クエリを実行] をクリックします。

ログエントリを解釈する

クエリ結果でログエントリを開き、次の jsonPayload フィールドを表示します。

フィールド	タイプ	説明
`dryRunResult`	ブール値	`true`: 権限の確認に合格しました。 `false`: 確認に失敗しました。呼び出し元プリンシパルに、サービスアカウントに対する `iam.serviceAccounts.actAs` 権限がありません。
`caller`	文字列	API 呼び出しを開始したプリンシパル（ユーザーまたはサービスアカウント）のメールアドレス。
`serviceAccount`	文字列	呼び出し元プリンシパルが代行しようとしたサービスアカウント。通常、このフィールドは `dryRunResult` フィールドが `false` の場合に存在します。
`apiMethod`	文字列	チェックをトリガーした Dataform API メソッド（`CreateWorkflowInvocation` や `UpdateRepository` など）。
`*_context`	オブジェクト	呼び出された API メソッドに関連するリソース名を含むオブジェクト。詳細については、コンテキストオブジェクトをご覧ください。

コンテキストオブジェクト

ログエントリには、jsonPayload フィールド内のコンテキストオブジェクトが含まれます。このオブジェクトのフィールドには、関連する Dataform エンティティの完全修飾 Google Cloud リソース名が含まれます。これらの名前は、次のリストに示す標準構造に従っているため、リソースを正確に識別できます。

create_workflow_invocation_context: API メソッドが CreateWorkflowInvocation の場合に存在します。
- workflowInvocation: ワークフロー呼び出しのリソース名。
  - リソース名の形式は projects/PROJECT_ID/locations/LOCATION_ID/repositories/REPOSITORY_ID/workflowInvocations/WORKFLOW_INVOCATION_ID です。
- compilationResult または workflowConfig: 呼び出しに使用されるソースのリソース名。
  - compilationResult のリソース名の形式は projects/PROJECT_ID/locations/LOCATION_ID/repositories/REPOSITORY_ID/compilationResults/COMPILATION_RESULT_ID です。
  - workflowConfig のリソース名の形式は projects/PROJECT_ID/locations/LOCATION_ID/repositories/REPOSITORY_ID/workflowConfigs/WORKFLOW_CONFIG_ID です。
create_repository_context または update_repository_context: API メソッドが CreateRepository または UpdateRepository の場合に存在します。
- repository: Dataform リポジトリのリソース名。
  - リソース名の形式は次のとおりです。 projects/PROJECT_ID/locations/LOCATION_ID/repositories/REPOSITORY_ID
update_release_config_context: API メソッドが UpdateReleaseConfig の場合に存在します。
- releaseConfig: リリース構成のリソース名。
  - リソース名の形式は projects/PROJECT_ID/locations/LOCATION_ID/repositories/REPOSITORY_ID/releaseConfigs/RELEASE_CONFIG_ID です。
create_workflow_config_context または update_workflow_config_context: API メソッドが CreateWorkflowConfig または UpdateWorkflowConfig の場合に存在します。
- workflowConfig: ワークフロー構成のリソース名。
  - リソース名の形式は projects/PROJECT_ID/locations/LOCATION_ID/repositories/REPOSITORY_ID/workflowConfigs/WORKFLOW_CONFIG_ID です。

ドキュメントに記載されている形式とロギングエントリを比較するには、次の値を置き換えます。

PROJECT_ID:Google Cloud プロジェクトの固有識別子。
LOCATION_ID: Dataform リポジトリが配置されているリージョン。
REPOSITORY_ID: Dataform リポジトリのユーザー定義 ID。これは、リポジトリの作成時に付けられた名前です。
COMPILATION_RESULT_ID: Dataform コンパイル結果に対してシステムで生成された一意の識別子。
RELEASE_CONFIG_ID: Dataform リリース構成のユーザー定義 ID。
WORKFLOW_CONFIG_ID: Dataform ワークフロー構成のユーザー定義 ID。

権限の問題を解決する

dryRunResult フィールドが false のログエントリが見つかった場合は、次の操作を行います。

jsonPayload の詳細で、caller フィールドのメールアドレスをメモして、プリンシパルを特定します。
serviceAccount フィールドのメールアドレスをメモして、サービスアカウントを特定します。
呼び出し元のプリンシパルに、サービスアカウントとして動作する権限があることを確認します。この権限を付与すると、呼び出し元はサービスアカウントが保持する権限を使用できます。
アクセスが意図的なものである場合は、ターゲット サービスアカウントの呼び出し元プリンシパルにサービスアカウントユーザーロール（roles/iam.serviceAccountUser）を付与します。詳細については、サービスアカウントユーザーの IAM ロールを付与するをご覧ください。

ロールを付与すると、この呼び出し元とサービスアカウントの組み合わせの今後のログには dryRunResult: true が表示されます。

サービスアカウントユーザーの IAM ロールを付与する

サービスアカウントユーザーのロール（roles/iam.serviceAccountUser）には、厳密な act-as モードに必要な iam.serviceAccounts.actAs 権限が含まれています。Dataform API を使用する場合は、呼び出す projects.locations.repositories メソッドに基づいて、有効なサービスアカウントにサービスアカウントユーザーのロールが付与されている必要があります。

create または patch
- Repository.ServiceAccount プロパティが設定されている場合は、そのプロパティにサービスアカウントユーザーロールが付与されている必要があります。
- patch メソッドを呼び出す場合は、リポジトリ内のすべてのワークフロー構成のすべての有効なサービスアカウントにサービスアカウントユーザーのロールが付与されている必要があります。
workflowConfigs.create または workflowConfigs.patch
- ワークフロー構成で使用される有効なサービスアカウントに、サービスアカウントユーザーロールが付与されている必要があります。
releaseConfigs.patch
- このリリース構成を使用するワークフロー構成で使用されるすべての有効なサービスアカウントに対して、サービスアカウントユーザーのロールが付与されている必要があります。
workflowInvocations.create
- ワークフローの呼び出しで使用される有効なサービスアカウントに、サービスアカウントユーザーのロールが付与されている必要があります。

カスタムサービスアカウントにサービスアカウントユーザーロールを付与する手順は、次のとおりです。

Google Cloud コンソールで、[IAM] > [サービスアカウント] に移動します。

[サービスアカウント] に移動
プロジェクトを選択します。
[プロジェクト「PROJECT_NAME」のサービスアカウント] ページで、カスタムサービスアカウントを選択します。
[アクセス権を持つプリンシパル] に移動し、[アクセス権を付与] をクリックします。
[新しいプリンシパル] フィールドに、デフォルトの Dataform サービスエージェント ID を入力します。

デフォルトの Dataform サービスエージェント ID の形式は次のとおりです。
```
service-PROJECT_NUMBER@gcp-sa-dataform.iam.gserviceaccount.com
```
[ロールを選択] リストで、[サービスアカウントユーザー] ロールを選択します。
[保存] をクリックします。

詳細については、ワークフロー構成の作成に必要なロールとリリース構成の作成に必要なロールをご覧ください。

厳密な act-as モードが自動リリースと実行に与える影響

厳密な act-as モードを有効にすると、リポジトリの自動リリースとワークフローの自動実行に次のような影響があります。

サードパーティリポジトリに接続されていないリポジトリの場合:

リリース構成で自動リリース用の Cron スケジュールを設定することはできません。これは、必要な iam.serviceAccounts.actAs 権限を持たないユーザーがダウンストリームサービスアカウントに対して行ったコード変更が自動的にデプロイされないようにするために適用されます。
ワークフロー構成で Cron スケジュールを使用してスケジュールされたワークフロー実行は、引き続き有効になります。これらの自動実行を成功させるには、ワークフロー構成で指定された有効なサービスアカウントに対する iam.serviceAccounts.actAs 権限をデフォルトの Dataform サービスエージェントに付与する必要があります。

サードパーティリポジトリに接続されているリポジトリの場合:

スケジュールされたリリースとスケジュールされたワークフローの実行は許可されます。
リリース構成からの自動リリースまたはワークフロー構成からの自動実行を有効にするには、関連する有効なサービスアカウントに対する iam.serviceAccounts.actAs 権限をデフォルトの Dataform サービスエージェントに付与する必要があります。
- 自動リリース構成の場合は、このリリース構成によってトリガーされるすべてのワークフロー構成の有効なサービスアカウントに対する権限を付与します。
- 自動ワークフロー構成の場合は、そのワークフロー構成で使用される有効なサービスアカウントに対する権限を付与します。

次のステップ

リポジトリの作成方法については、リポジトリの作成をご覧ください。
Dataform と BigQuery の連携の詳細については、ワークフローの概要をご覧ください。
ワークフロー構成の作成方法については、実行をスケジュールするをご覧ください。
リリース構成の作成方法については、コンパイルを構成するをご覧ください。