0 / 0
Go back to the English version of the documentation
Połączenie Google BigQuery
Last updated: 31 sie 2023
Połączenie Google BigQuery

Aby uzyskać dostęp do danych w Google BigQuery, utwórz dla niego zasób połączenia.

Google BigQuery to w pełni zarządzana, bezserwerowa hurtownia danych, która umożliwia skalowalną analizę w postaci petabajtów danych.

Utwórz połączenie z Google BigQuery

Aby utworzyć zasób połączenia, wybierz metodę uwierzytelniania. Dostępne opcje to uwierzytelnianie z lub bez stowarzyszenia tożsamości obciążenia.

Bez stowarzyszania tożsamości obciążenia

  • Referencje: zawartość pliku JSON klucza konta usługi Google
  • Identyfikator klienta, klucz tajny klienta, znacznik dostępu i znacznik odświeżania

Z stowarzyszeniem tożsamości obciążenia
Do uwierzytelniania używany jest zewnętrzny dostawca tożsamości (IdP). Zewnętrzny dostawca tożsamości używa funkcji zarządzania tożsamością i dostępem (Identity and Access Management-IAM) zamiast kluczy kont usługi. IAM zapewnia zwiększone bezpieczeństwo i scentralizowane zarządzanie. Uwierzytelnianie z użyciem stowarzyszenia tożsamości obciążenia można używać z tokenem dostępu lub z adresem URL znacznika.

Istnieje możliwość skonfigurowania połączenia Google BigQuery dla stowarzyszenia tożsamości obciążenia z dowolnym dostawcą tożsamości, który jest zgodny ze specyfikacją OpenID Connect (OIDC) i który spełnia wymagania Google Cloud opisane w sekcji Przygotowanie zewnętrznego IdP. Wymagania te obejmują:

  • Dostawca tożsamości musi obsługiwać protokół OpenID Connect 1.0.
  • Metadane OIDC dostawcy tożsamości oraz punkty końcowe JWKS muszą być publicznie dostępne przez internet. Google Cloud korzysta z tych punktów końcowych w celu pobrania zestawu kluczy dostawcy tożsamości i użycia tego zestawu kluczy w celu sprawdzenia poprawności znaczników.
  • Dostawca tożsamości jest skonfigurowany w taki sposób, aby możliwe było uzyskanie znaczników identyfikatora, które spełniają te kryteria:
    • Tokeny są podpisywane przy użyciu algorytmu RS256 lub ES256 .
    • Tokeny zawierają roszczenie aud.

Przykłady kroków konfiguracji stowarzyszenia tożsamości obciążenia oraz szczegółów połączenia Google BigQuery dla usług Amazon Web Services (AWS) i Microsoft Azuremożna znaleźć w sekcji Przykłady stowarzyszania tożsamości obciążenia.

Powiązanie tożsamości obciążenia ze szczegółami połączenia ze znacznikiem dostępu

  • Znacznik dostępu: znacznik dostępu od dostawcy tożsamości do nawiązania połączenia z BigQuery.

  • Publiczność usługi znaczników zabezpieczeń: Publiczność usługi znaczników zabezpieczeń, która zawiera identyfikator projektu, identyfikator puli oraz identyfikator dostawcy. Należy użyć formatu:

    //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

    Więcej informacji na ten temat zawiera sekcja Uwierzytelnianie obciążenia przy użyciu interfejsu API usług REST.

  • Adres e-mail konta usługi: Adres e-mail konta usługi Google , które ma być podszyte pod uwagę. Więcej informacji na ten temat zawiera sekcja Tworzenie konta usługi dla obciążenia zewnętrznego.

  • Czas życia znacznika konta usługi (opcjonalnie): Czas życia znacznika dostępu do konta usługi (w sekundach). Domyślny czas życia tokenu dostępu do konta usługi to jedna godzina. Więcej informacji na ten temat zawiera sekcja Informacje autoryzacyjne źródła adresu URL.

  • Format znacznika: tekst lub obiekt JSON z nazwą pola tokenu dla nazwy pola w odpowiedzi JSON, która zawiera znacznik.

  • Nazwa pola tokenu: nazwa pola w odpowiedzi JSON, która zawiera znacznik. To pole jest wyświetlane tylko wtedy, gdy formatem znacznika jest JSON.

  • Typ znacznika: żądanie podpisu AWS , wersja 4, znacznik dostępu Google OAuth 2.0 , znacznik identyfikatora, znacznik JSON Web Token (JWT) lub SAML 2.0.

Powiązanie tożsamości obciążenia ze szczegółami połączenia z adresem URL znacznika

  • Publiczność usługi znaczników zabezpieczeń: Publiczność usługi znaczników zabezpieczeń, która zawiera identyfikator projektu, identyfikator puli oraz identyfikator dostawcy. Należy użyć formatu:

    //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

    Więcej informacji na ten temat zawiera sekcja Uwierzytelnianie obciążenia przy użyciu interfejsu API usług REST.

  • Adres e-mail konta usługi: Adres e-mail konta usługi Google , które ma być podszyte pod uwagę. Więcej informacji na ten temat zawiera sekcja Tworzenie konta usługi dla obciążenia zewnętrznego.

  • Czas życia znacznika konta usługi (opcjonalnie): Czas życia znacznika dostępu do konta usługi (w sekundach). Domyślny czas życia tokenu dostępu do konta usługi to jedna godzina. Więcej informacji na ten temat zawiera sekcja Informacje autoryzacyjne źródła adresu URL.

  • Adres URL znacznika: adres URL do pobrania znacznika.

  • Metoda HTTP: metoda HTTP, która ma być używana dla żądania adresu URL znacznika: GET, POST lub PUT.

  • Treść żądania (dla metod POST lub PUT): treść żądania HTTP w celu pobrania znacznika.

  • Nagłówki HTTP: nagłówki HTTP dla żądania adresu URL znacznika w JSON lub w treści JSON. Użyj formatu: "Key1"="Value1","Key2"="Value2".

  • Format znacznika: tekst lub obiekt JSON z nazwą pola tokenu dla nazwy pola w odpowiedzi JSON, która zawiera znacznik.

  • Nazwa pola tokenu: nazwa pola w odpowiedzi JSON, która zawiera znacznik. To pole jest wyświetlane tylko wtedy, gdy formatem znacznika jest JSON.

  • Typ znacznika: żądanie podpisu AWS , wersja 4, znacznik dostępu Google OAuth 2.0 , znacznik identyfikatora, znacznik JSON Web Token (JWT) lub SAML 2.0.

Inne właściwości

Identyfikator projektu (opcjonalnie)

Wyjściowy format łańcucha JSON: format łańcucha JSON dla wartości wyjściowych, które są złożonymi typami danych (na przykład zagnieżdżonymi lub powtarzającymi się).

  • Pretty: wartości są formatowane przed wysłaniem ich do wyjścia. Użyj tej opcji, aby wizualnie odczytać kilka wierszy.
  • Surowa: (wartość domyślna) Brak formatowania. Tej opcji należy użyć w celu uzyskania najlepszej wydajności.

Uprawnienia

Połączenie z Google BigQuery wymaga następujących uprawnień BigQuery :

  • bigquery.job.create
  • bigquery.tables.get
  • bigquery.tables.getData

Użyj jednej z trzech metod, aby uzyskać następujące uprawnienia:

  • Użyj predefiniowanej roli BigQuery Cloud IAM bigquery.admin, która obejmuje te uprawnienia;
  • Użyj kombinacji dwóch ról, po jednej z każdej kolumny w poniższej tabeli; lub
  • Utwórz rolę niestandardową. Więcej informacji zawiera sekcja Tworzenie ról niestandardowych i zarządzanie nimi.
Pierwsza rola Druga rola
bigquery.dataEditor bigquery.jobUser
bigquery.dataOwner bigquery.user
bigquery.dataViewer

Więcej informacji na temat uprawnień i ról w programie Google BigQuerymożna znaleźć w sekcji Predefiniowane role i uprawnienia.

Wybierz metodę tworzenia połączenia na podstawie miejsca, w którym użytkownik znajduje się na platformie

W projekcie
Kliknij opcję Zasoby > Nowe zadanie > Połącz ze źródłem danych. Więcej informacji na ten temat zawiera sekcja Dodawanie połączenia z projektem.
W obszarze wdrażania
Kliknij opcję Dodaj do obszaru > Połączenie. Więcej informacji na ten temat zawiera sekcja Dodawanie połączeń do miejsca wdrażania.
W Platform assets catalog
Kliknij opcję Nowe połączenie.

Następny krok: dodawanie zasobów danych z połączenia

Miejsce, w którym można korzystać z tego połączenia

Połączenia Google BigQuery można używać w następujących obszarach roboczych i narzędziach:

Projekty

  • Data Refinery
  • SPSS Modeler

Katalogi

  • Platform assets catalog

Konfiguracja programu Google BigQuery

Szybki start przy użyciu konsoli Cloud Console

Więcej inform.

Temat nadrzędny: Obsługiwane połączenia

Generative AI search and answer
These answers are generated by a large language model in watsonx.ai based on content from the product documentation. Learn more