Google BigQuery 接続

アクセス・トークン接続を使用したワークロード ID フェデレーションの詳細

• アクセス・トークン: BigQueryに接続するための ID プロバイダーからのアクセス・トークン。

• Security Token Service オーディエンス: プロジェクト ID、プール ID、およびプロバイダー ID を含むセキュリティー・トークン・サービス・オーディエンス。 以下のフォーマットを使用します。

  //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
  

  詳細については、REST APIを使用したワークロードの認証を参照してください。

• サービス・アカウント E メール: 偽名を使用する Google サービス・アカウントの E メール・アドレス。 詳細については、外部ワークロード用のサービスアカウントの作成を参照してください。

• サービス・アカウント・トークン存続時間 (オプション): サービス・アカウント・アクセス・トークンの存続時間 (秒)。 サービス・アカウント・アクセス・トークンのデフォルトの存続時間は 1 時間です。 詳細については、URL ソースのクレデンシャルを参照してください。

• トークン・フォーマット: トークンを含む JSON 応答内のフィールドの名前の「トークン」フィールド名を含むテキストまたは JSON。

• トークン・フィールド名: トークンが含まれている JSON 応答内のフィールドの名前。 このフィールドは、 「トークン・フォーマット」 が JSON の場合にのみ表示されます。

• トークン・タイプ: AWS Signature バージョン 4 要求、 Google OAuth 2.0 アクセス・トークン、ID トークン、JSON Web Token (JWT)、または SAML 2.0。

Workload Identity Federation with token URL 接続の詳細

• Security Token Service オーディエンス: プロジェクト ID、プール ID、およびプロバイダー ID を含むセキュリティー・トークン・サービス・オーディエンス。 以下のフォーマットを使用します。

  //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
  

  詳細については、「REST API を使用してワークロードを認証する」を参照してください。

• サービス・アカウント E メール: 偽名を使用する Google サービス・アカウントの E メール・アドレス。 詳細については、外部ワークロード用のサービスアカウントの作成を参照してください。

• サービス・アカウント・トークン存続時間 (オプション): サービス・アカウント・アクセス・トークンの存続時間 (秒)。 サービス・アカウント・アクセス・トークンのデフォルトの存続時間は 1 時間です。 詳細については、URL ソースのクレデンシャルを参照してください。

• トークン URL: トークンを取得するための URL。

• HTTP メソッド: トークン URL 要求に使用する HTTP メソッド (GET、POST、または PUT)。

• 要求本文 (POST メソッドまたは PUT メソッドの場合): トークンを取得するための HTTP 要求の本文。

• HTTP ヘッダー: JSON で、または JSON 本体としての、トークン URL 要求の HTTP ヘッダー。 "Key1"="Value1","Key2"="Value2"という形式を使用します。

• トークン・フォーマット: トークンを含む JSON 応答内のフィールドの名前の「トークン」フィールド名を含むテキストまたは JSON。

• トークン・フィールド名: トークンが含まれている JSON 応答内のフィールドの名前。 このフィールドは、 「トークン・フォーマット」 が JSON の場合にのみ表示されます。

• トークン・タイプ: AWS Signature バージョン 4 要求、 Google OAuth 2.0 アクセス・トークン、ID トークン、JSON Web Token (JWT)、または SAML 2.0。

サーバー・プロキシー (オプション)

HTTPS プロキシー・サーバーを介して Google BigQuery データ・ソースにアクセスするには、 「サーバー・プロキシー」 を選択します。 プロキシー・サーバーは、そのセットアップに応じて、ロード・バランシング、セキュリティーの向上、およびプライバシーを提供することができます。 プロキシー・サーバーの設定は、認証資格情報および個人資格情報または共有資格情報の選択から独立しています。

• プロキシー・ホスト: HTTPS プロキシー・サーバーのホスト名または IP アドレス。 例えば、 proxy.example.com または 192.0.2.0などです。
• プロキシー・ポート: HTTPS プロキシー・サーバーに接続するためのポート番号。 例えば、 8080 または 8443などです。
• プロキシー・ユーザー名 および プロキシー・パスワード。

その他のプロパティー

「プロジェクト ID」 (オプション) Google プロジェクトの ID。

出力 JSON ストリング・フォーマット: 複合データ・タイプ (ネストまたは反復など) の出力値の JSON ストリング・フォーマット。

• Pretty: 値は、出力に送信される前にフォーマットされます。 いくつかの行を視覚的に読み取るには、このオプションを使用します。
• Raw: (デフォルト) フォーマット設定なし。 最高のパフォーマンスを得るためには, このオプションを使用してください。

メタデータ・ディスカバリー: この設定は、この接続を使用して資産を追加するときに、表やビュー (シノニム) などのスキーマ・オブジェクトの列 (注釈) および別名に関するコメントを取得するかどうかを決定します。

許可

Google BigQuery への接続には、以下の BigQuery 権限が必要です。

• bigquery.job.create
• bigquery.tables.get
• bigquery.tables.getData

次の 3 つの方法のいずれかを使用して、これらの権限を取得します：

• 以下の権限を含める事前定義された BigQuery Cloud IAM 役割 bigquery.adminを使用します;
• 2 つの役割の組み合わせを使用します。以下の表の各列から１つを選択するか、
• またはカスタム役割を作成します。 カスタムロールの作成と管理を参照してください。

Google BigQueryの権限とロールの詳細については、定義済みのロールと権限を参照してください。

プラットフォーム内の場所に基づいて接続を作成する方法を選択してください

プロジェクト内

「アセット」>「新規アセット」>「データ・ソースへの接続」をクリックします。 プロジェクトへの接続の追加を参照してください。

デプロイメント・スペース内

「アセットのインポート」>「データ・アクセス」>「接続」をクリックします。 デプロイメント・スペースへのデータ資産の追加を参照してください。

Platform assets catalog

新規接続をクリックしてください。 プラットフォーム接続の追加を参照してください。

次のステップ: 接続からデータ資産を追加する

• プロジェクトでの接続からのデータの追加を参照してください。