Google BigQuery は、ペタバイト単位のデータに対するスケーラブルな分析を可能にする、フル・マネージドのサーバーレス・データウェアハウスです。
Google BigQuery への接続を作成する
Copy link to section
接続資産を作成するには、認証方式を選択します。 選択項目には、ワークロード ID フェデレーションの有無にかかわらず、認証が含まれます。
ワークロード ID フェデレーションを使用しない場合
アカウント・キー (完全な JSON スニペット): Google サービス・アカウント・キー JSON ファイルの内容
クライアント ID、クライアント機密事項、アクセス・トークン、およびリフレッシュ・トークン
ワークロード ID 連携を使用 認証に外部 ID プロバイダー (IdP) を使用します。 外部 ID プロバイダーは、サービス・アカウント・キーの代わりに ID およびアクセス管理 (IAM) を使用します。 IAM は、セキュリティーの強化と集中管理を提供します。 ワークロード ID フェデレーション認証は、アクセストークンを使用するか、トークン URL を使用して使用することができます。
ワークロード ID フェデレーション用のGoogle BigQuery接続は、OpenIDConnect (OIDC) 仕様に準拠し、「外部IdPの準備」に記載されているGoogle Cloudの要件を満たす ID プロバイダと設定できます。 要件には以下が含まれます。
ID プロバイダーは、 OpenID Connect 1.0をサポートしている必要があります。
ID プロバイダーの OIDC メタデータおよび JWKS エンドポイントは、インターネット経由でパブリックにアクセス可能でなければなりません。 Google Cloud は、これらのエンドポイントを使用して ID プロバイダーの鍵セットをダウンロードし、その鍵セットを使用してトークンを検証します。
ID プロバイダーは、ワークロードが以下の基準を満たす ID トークンを取得できるように構成されます。
トークンは、 RS256 または ES256 アルゴリズムで署名されます。
トークンには aud クレームが含まれます。
Amazon Web ServicesAWSおよびMicrosoft Azure のワークロード ID フェデレーション構成手順の例 については、以下を参照のこと。
アクセス・トークン接続を使用したワークロード ID フェデレーションの詳細
Copy link to section
アクセス・トークン: BigQueryに接続するための ID プロバイダーからのアクセス・トークン。
Security Token Service オーディエンス: プロジェクト ID、プール ID、およびプロバイダー ID を含むセキュリティー・トークン・サービス・オーディエンス。 以下のフォーマットを使用します。
トークン・タイプ: AWS Signature バージョン 4 要求、 Google OAuth 2.0 アクセス・トークン、ID トークン、JSON Web Token (JWT)、または SAML 2.0。
サーバー・プロキシー (オプション)
Copy link to section
HTTPS プロキシサーバーを経由して Google BigQuery データソースにアクセスするには、 Server proxy を選択します。 プロキシー・サーバーは、そのセットアップに応じて、ロード・バランシング、セキュリティーの向上、およびプライバシーを提供することができます。 プロキシー・サーバーの設定は、認証資格情報および個人資格情報または共有資格情報の選択から独立しています。