Google BigQuery でデータにアクセスするには、そのデータ用の接続資産を作成します。
Google BigQuery は、ペタバイト単位のデータに対するスケーラブルな分析を可能にする、フル・マネージドのサーバーレス・データウェアハウスです。
Google BigQuery への接続を作成する
接続資産を作成するには、認証方式を選択します。 選択項目には、ワークロード ID フェデレーションの有無にかかわらず、認証が含まれます。
ワークロード ID フェデレーションを使用しない場合
- アカウント・キー (完全な JSON スニペット): Google サービス・アカウント・キー JSON ファイルの内容
- クライアント ID、クライアント機密事項、アクセス・トークン、およびリフレッシュ・トークン
ワークロード ID 連携を使用
認証に外部 ID プロバイダー (IdP) を使用します。 外部 ID プロバイダーは、サービス・アカウント・キーの代わりに ID およびアクセス管理 (IAM) を使用します。 IAM は、セキュリティーの強化と集中管理を提供します。 ワークロード ID フェデレーション認証は、アクセス・トークンまたはトークン URL で使用できます。
ワークロード ID フェデレーション用のGoogle BigQuery接続は、OpenIDConnect (OIDC) 仕様に準拠し、「外部IdPの準備」に記載されているGoogle Cloudの要件を満たす ID プロバイダと設定できます。 要件には以下が含まれます。
- ID プロバイダーは、 OpenID Connect 1.0をサポートしている必要があります。
- ID プロバイダーの OIDC メタデータおよび JWKS エンドポイントは、インターネット経由でパブリックにアクセス可能でなければなりません。 Google Cloud は、これらのエンドポイントを使用して ID プロバイダーの鍵セットをダウンロードし、その鍵セットを使用してトークンを検証します。
- ID プロバイダーは、ワークロードが以下の基準を満たす ID トークンを取得できるように構成されます。
- トークンは、 RS256 または ES256 アルゴリズムで署名されます。
- トークンには aud クレームが含まれます。
Amazon Web ServicesAWSおよびMicrosoft Azure のワークロード ID フェデレーション構成手順の例 については、以下を参照のこと。
アクセス・トークン接続を使用したワークロード ID フェデレーションの詳細
アクセス・トークン: BigQueryに接続するための ID プロバイダーからのアクセス・トークン。
Security Token Service オーディエンス: プロジェクト ID、プール ID、およびプロバイダー ID を含むセキュリティー・トークン・サービス・オーディエンス。 以下のフォーマットを使用します。
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
詳細については、REST APIを使用したワークロードの認証を参照してください。
サービス・アカウント E メール: 偽名を使用する Google サービス・アカウントの E メール・アドレス。 詳細については、外部ワークロード用のサービスアカウントの作成を参照してください。
サービス・アカウント・トークン存続時間 (オプション): サービス・アカウント・アクセス・トークンの存続時間 (秒)。 サービス・アカウント・アクセス・トークンのデフォルトの存続時間は 1 時間です。 詳細については、URL ソースのクレデンシャルを参照してください。
トークン・フォーマット: トークンを含む JSON 応答内のフィールドの名前の「トークン」フィールド名を含むテキストまたは JSON。
トークン・フィールド名: トークンが含まれている JSON 応答内のフィールドの名前。 このフィールドは、 「トークン・フォーマット」 が JSON の場合にのみ表示されます。
トークン・タイプ: AWS Signature バージョン 4 要求、 Google OAuth 2.0 アクセス・トークン、ID トークン、JSON Web Token (JWT)、または SAML 2.0。
Workload Identity Federation with token URL 接続の詳細
Security Token Service オーディエンス: プロジェクト ID、プール ID、およびプロバイダー ID を含むセキュリティー・トークン・サービス・オーディエンス。 以下のフォーマットを使用します。
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
詳細については、「REST API を使用してワークロードを認証する」を参照してください。
サービス・アカウント E メール: 偽名を使用する Google サービス・アカウントの E メール・アドレス。 詳細については、外部ワークロード用のサービスアカウントの作成を参照してください。
サービス・アカウント・トークン存続時間 (オプション): サービス・アカウント・アクセス・トークンの存続時間 (秒)。 サービス・アカウント・アクセス・トークンのデフォルトの存続時間は 1 時間です。 詳細については、URL ソースのクレデンシャルを参照してください。
トークン URL: トークンを取得するための URL。
HTTP メソッド: トークン URL 要求に使用する HTTP メソッド (GET、POST、または PUT)。
要求本文 (POST メソッドまたは PUT メソッドの場合): トークンを取得するための HTTP 要求の本文。
HTTP ヘッダー: JSON で、または JSON 本体としての、トークン URL 要求の HTTP ヘッダー。
"Key1"="Value1","Key2"="Value2"
という形式を使用します。トークン・フォーマット: トークンを含む JSON 応答内のフィールドの名前の「トークン」フィールド名を含むテキストまたは JSON。
トークン・フィールド名: トークンが含まれている JSON 応答内のフィールドの名前。 このフィールドは、 「トークン・フォーマット」 が JSON の場合にのみ表示されます。
トークン・タイプ: AWS Signature バージョン 4 要求、 Google OAuth 2.0 アクセス・トークン、ID トークン、JSON Web Token (JWT)、または SAML 2.0。
サーバー・プロキシー (オプション)
HTTPS プロキシー・サーバーを介して Google BigQuery データ・ソースにアクセスするには、 「サーバー・プロキシー」 を選択します。 プロキシー・サーバーは、そのセットアップに応じて、ロード・バランシング、セキュリティーの向上、およびプライバシーを提供することができます。 プロキシー・サーバーの設定は、認証資格情報および個人資格情報または共有資格情報の選択から独立しています。
- プロキシー・ホスト: HTTPS プロキシー・サーバーのホスト名または IP アドレス。 例えば、
proxy.example.com
または192.0.2.0
などです。 - プロキシー・ポート: HTTPS プロキシー・サーバーに接続するためのポート番号。 例えば、
8080
または8443
などです。 - プロキシー・ユーザー名 および プロキシー・パスワード。
その他のプロパティー
「プロジェクト ID」 (オプション) Google プロジェクトの ID。
出力 JSON ストリング・フォーマット: 複合データ・タイプ (ネストまたは反復など) の出力値の JSON ストリング・フォーマット。
- Pretty: 値は、出力に送信される前にフォーマットされます。 いくつかの行を視覚的に読み取るには、このオプションを使用します。
- Raw: (デフォルト) フォーマット設定なし。 最高のパフォーマンスを得るためには, このオプションを使用してください。
メタデータ・ディスカバリー: この設定は、この接続を使用して資産を追加するときに、表やビュー (シノニム) などのスキーマ・オブジェクトの列 (注釈) および別名に関するコメントを取得するかどうかを決定します。
許可
Google BigQuery への接続には、以下の BigQuery 権限が必要です。
bigquery.job.create
bigquery.tables.get
bigquery.tables.getData
次の 3 つの方法のいずれかを使用して、これらの権限を取得します:
- 以下の権限を含める事前定義された BigQuery Cloud IAM 役割
bigquery.admin
を使用します; - 2 つの役割の組み合わせを使用します。以下の表の各列から1つを選択するか、
- またはカスタム役割を作成します。 カスタムロールの作成と管理を参照してください。
最初の役割 | 2 番目の役割 |
---|---|
bigquery.dataEditor |
bigquery.jobUser |
bigquery.dataOwner |
bigquery.user |
bigquery.dataViewer |
Google BigQueryの権限とロールの詳細については、定義済みのロールと権限を参照してください。
プラットフォーム内の場所に基づいて接続を作成する方法を選択してください
- プロジェクト内
- 「アセット」>「新規アセット」>「データ・ソースへの接続」をクリックします。 プロジェクトへの接続の追加を参照してください。
- デプロイメント・スペース内
- 「アセットのインポート」>「データ・アクセス」>「接続」をクリックします。 デプロイメント・スペースへのデータ資産の追加を参照してください。
- Platform assets catalog
- 新規接続をクリックしてください。 プラットフォーム接続の追加を参照してください。
次のステップ: 接続からデータ資産を追加する
- プロジェクトでの接続からのデータの追加を参照してください。
この接続を使用できる場所
Google BigQuery 接続は、以下のワークスペースおよびツールで使用できます:
プロジェクト
- Data Refinery
- SPSS Modeler
- Synthetic Data Generator
カタログ
- Platform assets catalog
Google BigQuery のセットアップ
詳細情報
親トピック: サポートされた接続