Google BigQuery 연결
Google BigQuery에서 데이터에 액세스하려면 이에 대한 연결 자산을 작성합니다.
Google BigQuery는 페타바이트의 데이터에 대해 확장 가능한 분석을 가능하게 하는 완전히 관리되는 서버가 없는 데이터 웨어하우스입니다.
Google BigQuery에 대한 연결 작성
연결 자산을 작성하려면 인증 방법을 선택하십시오. 선택사항에는 워크로드 ID 연합을 사용하거나 사용하지 않는 인증이 포함됩니다.
워크로드 ID 연합 사용 안함
- 계정 키 (전체 JSON 스니펫): Google 서비스 계정 키 JSON 파일의 컨텐츠
- 클라이언트 ID, 클라이언트 시크릿, 액세스 토큰 및 새로 고침 토큰
워크로드 ID 연합 사용
인증을 위해 외부 ID 제공자 (IdP) 를 사용합니다. 외부 ID 제공자는 서비스 계정 키 대신 IAM (Identity and Access Management) 을 사용합니다. IAM은 보안 및 중앙 집중식 관리를 강화합니다. 액세스 토큰 또는 토큰 URL 을 사용하여 워크로드 ID 페더레이션 인증을 사용할 수 있습니다.
OIDC( OpenID Connect) 사양을 준수하고 외부 IdP 준비에 설명된 Google Cloud 요구 사항을 충족하는 모든 ID 공급업체와 워크로드 ID 페더레이션을 위한 Google BigQuery 연결을 구성할 수 있습니다. 요구사항은 다음과 같습니다.
- ID 제공자는 OpenID Connect 1.0을 지원해야 합니다.
- ID 제공자의 OIDC 메타데이터 및 JWKS 엔드포인트는 인터넷을 통해 공개적으로 액세스할 수 있어야 합니다. Google Cloud 는 이러한 엔드포인트를 사용하여 ID 제공자의 키 세트를 다운로드하고 키 세트를 사용하여 토큰의 유효성을 검증합니다.
- 워크로드가 다음 기준을 충족하는 ID 토큰을 얻을 수 있도록 ID 제공자가 구성됩니다.
- 토큰은 RS256 또는 ES256 알고리즘으로 서명됩니다.
- 토큰에는 aud 청구가 포함되어 있습니다.
' Amazon Web Services '(AWS) 및 ' Microsoft Azure'에 대한 워크로드 ID 페더레이션 구성 단계의 예는 를 참조하십시오.
액세스 토큰 연결 세부사항이 있는 워크로드 ID 연합
액세스 토큰: BigQuery에 연결하기 위한 ID 제공자의 액세스 토큰입니다.
보안 토큰 서비스 대상: 프로젝트 ID, 풀 ID및 제공자 ID를 포함하는 보안 토큰 서비스 대상입니다. 다음 형식을 사용하십시오.
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID자세한 내용은 REST API를 사용하여 워크로드 인증하기를 참조하세요.
서비스 계정 이메일: 위장할 Google 서비스 계정의 이메일 주소입니다. 자세한 내용은 외부 워크로드에 대한 서비스 계정 만들기를 참조하세요.
서비스 계정 토큰 수명 (선택사항): 서비스 계정 액세스 토큰의 수명 (초) 입니다. 서비스 계정 액세스 토큰의 기본 수명은 1시간입니다. 자세한 내용은 URL 소스 자격 증명을 참조하세요.
토큰 형식: 토큰을 포함하는 JSON 응답에서 필드 이름에 대한 토큰 필드 이름을 가진 텍스트 또는 JSON입니다.
토큰 필드 이름: 토큰을 포함하는 JSON 응답의 필드 이름입니다. 이 필드는 토큰 형식 이 JSON인 경우에만 표시됩니다.
토큰 유형: AWS Signature 버전 4요청, Google OAuth 2.0 액세스 토큰, ID 토큰, JWT (JSON Web Token) 또는 SAML 2.0.
토큰이 있는 워크로드 ID 페더레이션 URL 연결 세부 정보
보안 토큰 서비스 대상: 프로젝트 ID, 풀 ID및 제공자 ID를 포함하는 보안 토큰 서비스 대상입니다. 다음 형식을 사용하십시오.
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID자세한 내용은 REST API를 사용하여 워크로드 인증하기를 참조하세요.
서비스 계정 이메일: 위장할 Google 서비스 계정의 이메일 주소입니다. 자세한 내용은 외부 워크로드에 대한 서비스 계정 만들기를 참조하세요.
서비스 계정 토큰 수명 (선택사항): 서비스 계정 액세스 토큰의 수명 (초) 입니다. 서비스 계정 액세스 토큰의 기본 수명은 1시간입니다. 자세한 내용은 URL 소스 자격 증명을 참조하세요.
토큰 URL : 토큰을 검색하려면 URL.
HTTP 메소드 : HTTP 토큰 URL 요청에 사용할 메소드: GET, POST 또는 PUT.
요청 본문 (POST 또는 PUT 메서드의 경우): 토큰을 검색하는 HTTP 요청의 본문입니다.
HTTP 헤더 : 토큰 URL 요청에 대한 HTTP 헤더를 JSON 또는 JSON 본문으로 표시합니다.
"Key1"="Value1","Key2"="Value2"토큰 형식: 토큰을 포함하는 JSON 응답에서 필드 이름에 대한 토큰 필드 이름을 가진 텍스트 또는 JSON입니다.
토큰 필드 이름: 토큰을 포함하는 JSON 응답의 필드 이름입니다. 이 필드는 토큰 형식 이 JSON인 경우에만 표시됩니다.
토큰 유형: AWS Signature 버전 4요청, Google OAuth 2.0 액세스 토큰, ID 토큰, JWT (JSON Web Token) 또는 SAML 2.0.
서버 프록시 (선택사항)
HTTPS 프록시 서버를 통해 Google BigQuery 데이터 소스에 액세스하려면 서버 프록시를 선택합니다. 설정에 따라 프록시 서버는 로드 밸런싱, 보안 강화 및 개인정보 보호정책을 제공할 수 있습니다. 프록시 서버 설정은 인증 신임 정보 및 개인 또는 공유 신임 정보 선택과 무관합니다.
- 프록시 호스트 : HTTPS 프록시 서버의 호스트 이름 또는 IP 주소입니다. 예를 들어,
proxy.example.com192.0.2.0 - 프록시 포트 : HTTPS 프록시 서버에 연결할 포트 번호입니다. 예를 들어,
80808443 - 프록시 사용자 이름 및 프록시 비밀번호.
기타 특성
프로젝트 ID (선택사항) Google 프로젝트의 ID입니다.
출력 JSON 문자열 형식: 복합 데이터 유형 (예: 중첩 또는 반복) 인 출력 값의 JSON 문자열 형식입니다.
- 고품질: 값을 출력으로 보내기 전에 형식화됩니다. 이 옵션을 사용하여 몇 개의 행을 시각적으로 읽을 수 있습니다.
- 원시: (기본값) 형식화하지 않습니다. 최상의 성능을 위해 이 옵션을 사용하십시오.
메타데이터 발견: 이 설정은 이 연결을 사용하여 자산이 추가될 때 테이블 또는 뷰 (동의어) 와 같은 스키마 오브젝트의 컬럼 (주석) 및 별명에 대한 주석이 검색되는지 여부를 판별합니다.
권한
Google BigQuery에 연결하려면 다음 BigQuery 권한이 필요합니다.
bigquery.job.createbigquery.tables.getbigquery.tables.getData
다음 세 가지 방법 중 하나를 사용하여 이러한 권한을 얻을 수 있습니다.
- 이러한 권한을 포함하는 사전 정의된 BigQuery 클라우드 IAM 역할
bigquery.admin - 다음 테이블에 있는 각 열에서 하나씩 두 역할의 조합을 사용하십시오.
- 사용자 정의 역할을 작성하십시오. 사용자 지정 역할 만들기 및 관리를 참조하세요.
| 첫 번째 역할 | 두 번째 역할 |
|---|---|
|
|
|
|
|
Google BigQuery 권한 및 역할에 대한 자세한 내용은 미리 정의된 역할 및 권한을 참조하세요.
플랫폼에 있는 위치를 기반으로 연결을 작성하는 방법 선택
- 프로젝트에서
- 자산 > 새 자산 > 데이터 소스에 연결을 클릭하십시오. 프로젝트에 연결 추가를 참조하십시오.
- 배치 영역에서
- 자산 가져오기 > 데이터 액세스 > 연결을 클릭하십시오. 배치 영역에 데이터 자산 추가를 참조하십시오.
- 플랫폼 자산 카탈로그에서
- 새 연결을 클릭하십시오. 플랫폼 연결 추가를 참조하십시오.
다음 단계: 연결에서 데이터 자산 추가
- 프로젝트에 있는 연결에서 데이터 추가를 참조하십시오.
Google BigQuery 설정
자세히 알아보기
상위 주제: 지원되는 연결