Connessione Google BigQuery
Per accedere ai tuoi dati in Google BigQuery, crea un asset di connessione per essi.
Google BigQuery è un data warehouse completamente gestito e senza server che consente l'analisi scalabile su petabyte di dati.
Crea una connessione a Google BigQuery
Per creare l'asset di connessione, scegliere un metodo di autenticazione. Le scelte includono un'autenticazione con o senza la federazione di identità del carico di lavoro.
Senza federazione di identità del carico di lavoro
- Chiave account (frammento JSON completo): il contenuto del file JSON della chiave account del servizio Google
- ID client, segreto client, token di accesso e token di aggiornamento
Con la federazione dell'identità del carico di lavoro
Utilizzare un provider di identità esterno (IdP) per l'autenticazione. Un provider di identità esterno utilizza IAM (Identity and Access Management) invece delle chiavi account del servizio. IAM fornisce una maggiore sicurezza e una gestione centralizzata. È possibile utilizzare l'autenticazione di workload identity federation con un token di accesso o con un token URL.
È possibile configurare una connessione a Google BigQuery per la federazione dell'identità del carico di lavoro con qualsiasi provider di identità conforme alle specifiche OpenID Connect (OIDC) e che soddisfi i requisiti di Google Cloud descritti in Preparare l'IdP esterno. I requisiti includono:
- Il provider di identità deve supportare OpenID Connect 1.0.
- I metadati OIDC del provider di identità e gli endpoint JWKS devono essere accessibili pubblicamente su internet. Google Cloud utilizza questi endpoint per scaricare la serie di chiavi del provider di identità e utilizza tale serie di chiavi per convalidare i token.
- Il provider di identità è configurato in modo che il tuo carico di lavoro possa ottenere token ID che soddisfano questi criteri:
- I token sono firmati con l'algoritmo RS256 o ES256 .
- I token contengono una richiesta aud.
Per esempi di configurazione della federazione di identità del carico di lavoro per Amazon Web ServicesAWS) e Microsoft Azure, vedere .
Federazione identità carico di lavoro con dettagli di connessione token di accesso
Token di accesso: un token di accesso dal provider di identità per la connessione a BigQuery.
Destinatario del servizio token di sicurezza: il destinatario del servizio token di sicurezza che contiene l'ID progetto, l'ID pool e l'ID provider. Utilizzare questo formato:
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_IDPer ulteriori informazioni, vedere Autenticare un carico di lavoro utilizzando l'API REST.
Email account di servizio: l'indirizzo email dell'account di servizio Google da impersonare. Per ulteriori informazioni, vedere Creare un account di servizio per il carico di lavoro esterno.
Durata token account di servizio (facoltativo): la durata in secondi del token di accesso dell'account di servizio. La durata predefinita di un token di accesso dell'account di servizio è un'ora. Per ulteriori informazioni, vedere Credenziali basate su URL.
Formato token: testo o JSON con il nome del campo Token per il nome del campo nella risposta JSON che contiene il token.
Nome campo token: il nome del campo nella risposta JSON che contiene il token. Questo campo viene visualizzato solo quando il Formato token è JSON.
Tipo token: richiesta AWS Signature Version 4, Google OAuth 2.0 access token, ID token, JWT (JSON Web Token) o SAML 2.0.
Workload Identity Federation con token URL dettagli di connessione
Destinatario del servizio token di sicurezza: il destinatario del servizio token di sicurezza che contiene l'ID progetto, l'ID pool e l'ID provider. Utilizzare questo formato:
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_IDPer ulteriori informazioni, vedere Autenticare un carico di lavoro utilizzando l'API REST.
Email account di servizio: l'indirizzo email dell'account di servizio Google da impersonare. Per ulteriori informazioni, vedere Creare un account di servizio per il carico di lavoro esterno.
Durata token account di servizio (facoltativo): la durata in secondi del token di accesso dell'account di servizio. La durata predefinita di un token di accesso dell'account di servizio è un'ora. Per ulteriori informazioni, vedere Credenziali basate su URL.
Token URL : URL per recuperare un token.
HTTP metodo : HTTP metodo da utilizzare per la richiesta del token URL : GET, POST o PUT.
Corpo della richiesta (per i metodi POST o PUT): Il corpo della richiesta HTTP per recuperare un token.
HTTP headers : HTTP headers per la richiesta del token URL in JSON o come corpo JSON. Utilizzare il formato
"Key1"="Value1","Key2"="Value2"Formato token: testo o JSON con il nome del campo Token per il nome del campo nella risposta JSON che contiene il token.
Nome campo token: il nome del campo nella risposta JSON che contiene il token. Questo campo viene visualizzato solo quando il Formato token è JSON.
Tipo token: richiesta AWS Signature Version 4, Google OAuth 2.0 access token, ID token, JWT (JSON Web Token) o SAML 2.0.
Proxy server (facoltativo)
Selezionare Server proxy per accedere all'origine dati Google BigQuery attraverso un server proxy HTTPS. In base alla sua configurazione, un server proxy può fornire il bilanciamento del carico, una maggiore sicurezza e privacy. Le impostazioni del server proxy sono indipendenti dalle credenziali di autenticazione e dalla selezione di credenziali personali o condivise.
- Host proxy : il nome host o l'indirizzo IP del server proxy HTTPS. Ad esempio,
proxy.example.com192.0.2.0 - Porta proxy : Il numero di porta per connettersi al server proxy HTTPS. Ad esempio,
80808443 - Nome utente proxy e Password proxy.
Altre proprietà
ID progetto (facoltativo) L'ID del progetto Google .
Formato stringa JSON di output: formato stringa JSON per i valori di output che sono tipi di dati complessi (ad esempio, nidificati o ripetuti).
- Pretty: i valori vengono formattati prima di inviarli all'output. Utilizzare questa opzione per leggere visivamente alcune righe.
- Raw: (valore predefinito) Nessuna formattazione. Utilizzare questa opzione per ottenere prestazioni ottimali.
Rilevamento metadati: l'impostazione determina se i commenti sulle colonne (note) e gli alias per gli oggetti dello schema quali tabelle o viste (sinonimi) vengono richiamati quando gli asset vengono aggiunti utilizzando questa connessione.
Autorizzazioni
La connessione a Google BigQuery richiede le seguenti autorizzazioni BigQuery :
bigquery.job.createbigquery.tables.getbigquery.tables.getData
Utilizzare uno dei seguenti tre modi per ottenere queste autorizzazioni:
- Utilizza il BigQuery Cloud IAM
bigquery.admin - Utilizzare una combinazione di due ruoli, uno per ogni colonna nella tabella seguente; oppure
- Creare un ruolo personalizzato. Vedere Creare e gestire ruoli personalizzati.
| Primo ruolo | Secondo ruolo |
|---|---|
|
|
|
|
|
Per ulteriori informazioni sulle autorizzazioni e sui ruoli in Google BigQuery, vedere Ruoli e autorizzazioni predefiniti.
Scegliere il metodo per la creazione di una connessione in base alla posizione in cui ci si trova nella piattaforma
- In un progetto
- Fare clic su Asset> Nuovo asset> Connetti a una origine dati. Consultare Aggiunta di una connessione a un progetto.
- In uno spazio di distribuzione
- Fare clic su Importa asset> Accesso dati> Connessione. Consultare Aggiunta di asset di dati a uno spazio di distribuzione.
- Nel Platform assets catalog
- Fare clic su Nuova connessione. Consultare Aggiunta di connessioni di piattaforma.
Passo successivo: aggiungere gli asset di dati dalla connessione
Configurazione di Google BigQuery
Ulteriori informazioni
Argomento principale Connessioni supportate