Torna alla versione inglese della documentazione

Connessione Google BigQuery

Ultimo aggiornamento: 28 nov 2024

Per accedere ai tuoi dati in Google BigQuery, crea un asset di connessione per essi.

Google BigQuery è un data warehouse completamente gestito e senza server che consente l'analisi scalabile su petabyte di dati.

Crea una connessione a Google BigQuery

Per creare l'asset di connessione, scegliere un metodo di autenticazione. Le scelte includono un'autenticazione con o senza la federazione di identità del carico di lavoro.

Senza federazione di identità del carico di lavoro

Chiave account (frammento JSON completo): il contenuto del file JSON della chiave account del servizio Google
ID client, segreto client, token di accesso e token di aggiornamento

Con la federazione dell'identità del carico di lavoro
Utilizzare un provider di identità esterno (IdP) per l'autenticazione. Un provider di identità esterno utilizza IAM (Identity and Access Management) invece delle chiavi account del servizio. IAM fornisce una maggiore sicurezza e una gestione centralizzata. È possibile utilizzare l'autenticazione di federazione di identità del carico di lavoro con un token di accesso o con un URL token.

È possibile configurare una connessione a Google BigQuery per la federazione dell'identità del carico di lavoro con qualsiasi provider di identità conforme alle specifiche OpenID Connect (OIDC) e che soddisfi i requisiti di Google Cloud descritti in Preparare l'IdP esterno. I requisiti includono:

Il provider di identità deve supportare OpenID Connect 1.0.
I metadati OIDC del provider di identità e gli endpoint JWKS devono essere accessibili pubblicamente su internet. Google Cloud utilizza questi endpoint per scaricare la serie di chiavi del provider di identità e utilizza tale serie di chiavi per convalidare i token.
Il provider di identità è configurato in modo che il tuo carico di lavoro possa ottenere token ID che soddisfano questi criteri:
- I token sono firmati con l'algoritmo RS256 o ES256 .
- I token contengono una richiesta aud.

Per esempi di configurazione della federazione di identità del carico di lavoro per Amazon Web ServicesAWS) e Microsoft Azure, vedere .

Federazione identità carico di lavoro con dettagli di connessione token di accesso

Token di accesso: un token di accesso dal provider di identità per la connessione a BigQuery.
Destinatario del servizio token di sicurezza: il destinatario del servizio token di sicurezza che contiene l'ID progetto, l'ID pool e l'ID provider. Utilizzare questo formato:
```
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
```
Per ulteriori informazioni, vedere Autenticare un carico di lavoro utilizzando l'API REST.
Email account di servizio: l'indirizzo email dell'account di servizio Google da impersonare. Per ulteriori informazioni, vedere Creare un account di servizio per il carico di lavoro esterno.
Durata token account di servizio (facoltativo): la durata in secondi del token di accesso dell'account di servizio. La durata predefinita di un token di accesso dell'account di servizio è un'ora. Per ulteriori informazioni, vedere Credenziali di origine URL.
Formato token: testo o JSON con il nome del campo Token per il nome del campo nella risposta JSON che contiene il token.
Nome campo token: il nome del campo nella risposta JSON che contiene il token. Questo campo viene visualizzato solo quando il Formato token è JSON.
Tipo token: richiesta AWS Signature Version 4, Google OAuth 2.0 access token, ID token, JWT (JSON Web Token) o SAML 2.0.

Federazione di identità del carico di lavoro con dettagli di connessione URL token

Destinatario del servizio token di sicurezza: il destinatario del servizio token di sicurezza che contiene l'ID progetto, l'ID pool e l'ID provider. Utilizzare questo formato:
```
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
```
Per ulteriori informazioni, vedere Autenticare un carico di lavoro utilizzando l'API REST.
Email account di servizio: l'indirizzo email dell'account di servizio Google da impersonare. Per ulteriori informazioni, vedere Creare un account di servizio per il carico di lavoro esterno.
Durata token account di servizio (facoltativo): la durata in secondi del token di accesso dell'account di servizio. La durata predefinita di un token di accesso dell'account di servizio è un'ora. Per ulteriori informazioni, vedere Credenziali di origine URL.
URL token: l'indirizzo URL per richiamare un token.
Metodo HTTP: metodo HTTP da utilizzare per la richiesta URL token: GET, POST o PUT.
Corpo richiesta (per i metodi POST o PUT): il corpo della richiesta HTTP per richiamare un token.
Intestazioni HTTP: intestazioni HTTP per la richiesta URL token in JSON o come corpo JSON. Utilizzare il formato "Key1"="Value1","Key2"="Value2".
Formato token: testo o JSON con il nome del campo Token per il nome del campo nella risposta JSON che contiene il token.
Nome campo token: il nome del campo nella risposta JSON che contiene il token. Questo campo viene visualizzato solo quando il Formato token è JSON.
Tipo token: richiesta AWS Signature Version 4, Google OAuth 2.0 access token, ID token, JWT (JSON Web Token) o SAML 2.0.

Proxy server (facoltativo)

Selezionare Proxy del server per accedere all'origine dati Google BigQuery tramite un server proxy HTTPS. In base alla sua configurazione, un server proxy può fornire il bilanciamento del carico, una maggiore sicurezza e privacy. Le impostazioni del server proxy sono indipendenti dalle credenziali di autenticazione e dalla selezione di credenziali personali o condivise.

Host proxy: il nome host o l'indirizzo IP del server proxy HTTPS. Ad esempio, proxy.example.com o 192.0.2.0.
Porta proxy: il numero di porta per la connessione al server proxy HTTPS. Ad esempio, 8080 o 8443.
Nome utente proxy e Password proxy.

Altre proprietà

ID progetto (facoltativo) L'ID del progetto Google .

Formato stringa JSON di output: formato stringa JSON per i valori di output che sono tipi di dati complessi (ad esempio, nidificati o ripetuti).

Pretty: i valori vengono formattati prima di inviarli all'output. Utilizzare questa opzione per leggere visivamente alcune righe.
Raw: (valore predefinito) Nessuna formattazione. Utilizzare questa opzione per ottenere prestazioni ottimali.

Rilevamento metadati: l'impostazione determina se i commenti sulle colonne (note) e gli alias per gli oggetti dello schema quali tabelle o viste (sinonimi) vengono richiamati quando gli asset vengono aggiunti utilizzando questa connessione.

Autorizzazioni

La connessione a Google BigQuery richiede le seguenti autorizzazioni BigQuery :

bigquery.job.create
bigquery.tables.get
bigquery.tables.getData

Utilizzare uno dei seguenti tre modi per ottenere queste autorizzazioni:

Utilizza il BigQuery Cloud IAM bigquery.adminpredefinito, che include queste autorizzazioni;
Utilizzare una combinazione di due ruoli, uno per ogni colonna nella tabella seguente; oppure
Creare un ruolo personalizzato. Vedere Creare e gestire ruoli personalizzati.

Primo ruolo	Secondo ruolo
`bigquery.dataEditor`	`bigquery.jobUser`
`bigquery.dataOwner`	`bigquery.user`
`bigquery.dataViewer`

Per ulteriori informazioni sulle autorizzazioni e sui ruoli in Google BigQuery, vedere Ruoli e autorizzazioni predefiniti.

Scegliere il metodo per la creazione di una connessione in base alla posizione in cui ci si trova nella piattaforma

In un progetto: Fare clic su Asset> Nuovo asset> Connetti a una origine dati. Consultare Aggiunta di una connessione a un progetto.
In uno spazio di distribuzione: Fare clic su Importa asset> Accesso dati> Connessione. Consultare Aggiunta di asset di dati a uno spazio di distribuzione.
Nel Platform assets catalog: Fare clic su Nuova connessione. Consultare Aggiunta di connessioni di piattaforma.