2026 年 4 月 20 日より、BigLake は Lakehouse for Apache Iceberg に名称変更されました。BigLake metastore は、Lakehouse ランタイムカタログと呼ばれるようになりました。Lakehouse API、クライアントライブラリ、CLI コマンド、IAM 名は変更されず、引き続き BigLake を参照します。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

認証情報のベンディングを有効にする

既存の Apache Iceberg REST カタログで認証情報ベンディングモードを有効にすると、Lakehouse for Apache Iceberg が、承認されたクエリエンジンまたはワークロードに有効期間の短いスコープダウンされたストレージトークンをベンディングするように構成されます。

Lakehouse ランタイムカタログ内でこの認証方法を使用すると、基盤となる Cloud Storage バケットに対する直接の読み取り / 書き込み権限をユーザーまたはクエリランタイムが保持する必要がなくなります。

始める前に

Google Cloud プロジェクトに対して課金が有効になっていることを確認します。
BigLake API を有効にします。
API を有効にするために必要なロール
API を有効にするには、serviceusage.services.enable 権限を含む Service Usage 管理者 IAM ロール（roles/serviceusage.serviceUsageAdmin）が必要です。詳しくは、ロールを付与する方法をご覧ください。
API の有効化

必要なロール

認証情報ベンダーを有効にするために必要な権限を取得するには、次の IAM ロールを付与するよう管理者に依頼してください。

すべて:
- プロジェクトに対する BigLake 管理者（roles/biglake.admin）
- プロジェクトに対するストレージ管理者（roles/storage.admin）
自動プロビジョニングされた Apache Iceberg REST カタログサービスアカウント: ターゲット Cloud Storage バケットに対する Storage オブジェクトユーザー（roles/storage.objectUser）。認証情報ベンディングを有効にしたら、ストレージバケットに対するストレージオブジェクトユーザーロール（roles/storage.objectUser）を、カタログの自動プロビジョニングされた Apache Iceberg REST カタログサービスアカウントに明示的に付与します。

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

認証情報のベンディングを有効にする

Apache Iceberg REST カタログの認証方法がエンドユーザー認証情報に設定されている場合は、認証情報ベンディングモードに切り替えることができます。

コンソール

Google Cloud コンソールで、[Lakehouse] ページを開きます。

[Lakehouse] に移動

更新するカタログの行で、 [カタログのその他の操作] > [認証を編集] を選択します。
1. 認証ダイアログで、[認証情報ベンディングモード] を選択します。自動プロビジョニングされた Apache Iceberg REST カタログサービスアカウントには、ターゲットの Cloud Storage バケットに対する明示的な Storage オブジェクトユーザー ロール（roles/storage.objectUser）が必要です。デフォルトでは、閲覧者専用のアクセス権で作成されます。このロールがないと、ベンダー認証情報にはストレージ書き込みを実行するのに十分なスコープがありません。
2. [保存] を選択します。カタログが更新され、[カタログの詳細] ページが開きます。
[認証方法] で、[バケット権限を設定] を選択します。
1. ダイアログで [確認] を選択します。

これにより、カタログのサービスアカウントにストレージバケットに対する Storage オブジェクトユーザーロール（roles/storage.objectUser）があることが確認されます。

gcloud

gcloud biglake iceberg catalogs create コマンドを使用します。

gcloud biglake iceberg catalogs create \
    CATALOG_NAME \
    --project PROJECT_ID \
    --catalog-type gcs-bucket \
    --credential-mode vended-credentials \
    [--primary-location LOCATION]

次のように置き換えます。

CATALOG_NAME: カタログの名前。この名前は、Lakehouse Iceberg REST カタログで使用される Cloud Storage バケット ID と一致することがよくあります。たとえば、バケットが gs://bucket-id の場合、カタログ名は bucket-id になることがあります。この名前は、BigQuery からこれらのテーブルをクエリする際のカタログ識別子としても使用されます。
PROJECT_ID: 実際の Google Cloudプロジェクト ID。
LOCATION: （省略可）BigQuery との相互運用性を確保するためのカタログのプライマリリージョン。米国リージョン（US や us-central1 など）または EU リージョン（EU や europe-west4 など）の Cloud Storage バケットの場合は、それぞれ US または EU を指定して、対応する BigQuery マルチリージョンからカタログにアクセスしてクエリを実行できるようにします。詳細については、バケットとカタログのリージョンをご覧ください。

カタログを作成したら、ストレージバケットに対するStorage オブジェクトユーザー ロール（roles/storage.objectAdmin）を、カタログの自動プロビジョニングされた Apache Iceberg REST カタログサービスアカウントに明示的に付与します。

REST

REST API を使用して認証情報ベンディングモードを有効にするには、UpdateIcebergCatalog エンドポイントに PATCH リクエストを行います。

PATCH /iceberg/v1/restcatalog/extensions/projects/PROJECT_ID/catalogs/CATALOG_ID?updateMask=icebergCatalog.credentialMode

リクエストの本文には、credentialMode が VENDED_CREDENTIALS に設定された IcebergCatalog JSON ペイロードを含める必要があります。

次のように置き換えます。

PROJECT_ID: 実際の Google Cloud プロジェクト ID。
CATALOG_ID: Lakehouse ランタイムカタログの ID。

特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。

最終更新日 2026-06-15 UTC。