Per accedere ai tuoi dati in Google BigQuery, crea un asset di connessione per essi.
Google BigQuery è un data warehouse completamente gestito e senza server che consente l'analisi scalabile su petabyte di dati.
Crea una connessione a Google BigQuery
Copy link to section
Per creare l'asset di connessione, scegliere un metodo di autenticazione. Le scelte includono un'autenticazione con o senza la federazione di identità del carico di lavoro.
Senza federazione di identità del carico di lavoro
Chiave account (frammento JSON completo): il contenuto del file JSON della chiave account del servizio Google
ID client, segreto client, token di accesso e token di aggiornamento
Con la federazione dell'identità del carico di lavoro Utilizzare un provider di identità esterno (IdP) per l'autenticazione. Un provider di identità esterno utilizza IAM (Identity and Access Management) invece delle chiavi account del servizio. IAM fornisce una maggiore sicurezza e una gestione centralizzata. È possibile utilizzare l'autenticazione di workload identity federation con un token di accesso o con un token URL.
È possibile configurare una connessione a Google BigQuery per la federazione dell'identità del carico di lavoro con qualsiasi provider di identità conforme alle specifiche OpenID Connect (OIDC) e che soddisfi i requisiti di Google Cloud descritti in Preparare l'IdP esterno. I requisiti includono:
Il provider di identità deve supportare OpenID Connect 1.0.
I metadati OIDC del provider di identità e gli endpoint JWKS devono essere accessibili pubblicamente su internet. Google Cloud utilizza questi endpoint per scaricare la serie di chiavi del provider di identità e utilizza tale serie di chiavi per convalidare i token.
Il provider di identità è configurato in modo che il tuo carico di lavoro possa ottenere token ID che soddisfano questi criteri:
I token sono firmati con l'algoritmo RS256 o ES256 .
I token contengono una richiesta aud.
Per esempi di configurazione della federazione di identità del carico di lavoro per Amazon Web ServicesAWS) e Microsoft Azure, vedere .
Federazione identità carico di lavoro con dettagli di connessione token di accesso
Copy link to section
Token di accesso: un token di accesso dal provider di identità per la connessione a BigQuery.
Destinatario del servizio token di sicurezza: il destinatario del servizio token di sicurezza che contiene l'ID progetto, l'ID pool e l'ID provider. Utilizzare questo formato:
Durata token account di servizio (facoltativo): la durata in secondi del token di accesso dell'account di servizio. La durata predefinita di un token di accesso dell'account di servizio è un'ora. Per ulteriori informazioni, vedere Credenziali basate su URL.
Formato token: testo o JSON con il nome del campo Token per il nome del campo nella risposta JSON che contiene il token.
Nome campo token: il nome del campo nella risposta JSON che contiene il token. Questo campo viene visualizzato solo quando il Formato token è JSON.
Tipo token: richiesta AWS Signature Version 4, Google OAuth 2.0 access token, ID token, JWT (JSON Web Token) o SAML 2.0.
Workload Identity Federation con token URL dettagli di connessione
Copy link to section
Destinatario del servizio token di sicurezza: il destinatario del servizio token di sicurezza che contiene l'ID progetto, l'ID pool e l'ID provider. Utilizzare questo formato:
Durata token account di servizio (facoltativo): la durata in secondi del token di accesso dell'account di servizio. La durata predefinita di un token di accesso dell'account di servizio è un'ora. Per ulteriori informazioni, vedere Credenziali basate su URL.
Token URL : URL per recuperare un token.
HTTP metodo : HTTP metodo da utilizzare per la richiesta del token URL : GET, POST o PUT.
Corpo della richiesta (per i metodi POST o PUT): Il corpo della richiesta HTTP per recuperare un token.
HTTP headers : HTTP headers per la richiesta del token URL in JSON o come corpo JSON. Utilizzare il formato "Key1"="Value1","Key2"="Value2".
Formato token: testo o JSON con il nome del campo Token per il nome del campo nella risposta JSON che contiene il token.
Nome campo token: il nome del campo nella risposta JSON che contiene il token. Questo campo viene visualizzato solo quando il Formato token è JSON.
Tipo token: richiesta AWS Signature Version 4, Google OAuth 2.0 access token, ID token, JWT (JSON Web Token) o SAML 2.0.
Proxy server (facoltativo)
Copy link to section
Selezionare Server proxy per accedere all'origine dati Google BigQuery attraverso un server proxy HTTPS. In base alla sua configurazione, un server proxy può fornire il bilanciamento del carico, una maggiore sicurezza e privacy. Le impostazioni del server proxy sono indipendenti dalle credenziali di autenticazione e dalla selezione di credenziali personali o condivise.
Host proxy : il nome host o l'indirizzo IP del server proxy HTTPS. Ad esempio, proxy.example.com o 192.0.2.0.
Porta proxy : Il numero di porta per connettersi al server proxy HTTPS. Ad esempio, 8080 o 8443.
Nome utente proxy e Password proxy.
Altre proprietà
Copy link to section
ID progetto (facoltativo) L'ID del progetto Google .
Formato stringa JSON di output: formato stringa JSON per i valori di output che sono tipi di dati complessi (ad esempio, nidificati o ripetuti).
Pretty: i valori vengono formattati prima di inviarli all'output. Utilizzare questa opzione per leggere visivamente alcune righe.
Raw: (valore predefinito) Nessuna formattazione. Utilizzare questa opzione per ottenere prestazioni ottimali.
Rilevamento metadati: l'impostazione determina se i commenti sulle colonne (note) e gli alias per gli oggetti dello schema quali tabelle o viste (sinonimi) vengono richiamati quando gli asset vengono aggiunti utilizzando questa connessione.
Autorizzazioni
Copy link to section
La connessione a Google BigQuery richiede le seguenti autorizzazioni BigQuery :
bigquery.job.create
bigquery.tables.get
bigquery.tables.getData
Utilizzare uno dei seguenti tre modi per ottenere queste autorizzazioni:
Utilizza il BigQuery Cloud IAM bigquery.adminpredefinito, che include queste autorizzazioni;
Utilizzare una combinazione di due ruoli, uno per ogni colonna nella tabella seguente; oppure