Google Cloud Storage 接続

最終更新: 2025年4月10日

Google Cloud Storage 内のデータにアクセスするには、そのデータ用の接続資産を作成します。

Google Cloud Storage は、 Google Cloud Platform Infrastructure 上のデータを保管およびアクセスするためのオンライン・ファイル・ストレージ Web サービスです。

Google Cloud Storage への接続を作成します

接続資産を作成するには、認証方式を選択します。選択項目には、ワークロード ID フェデレーションの有無にかかわらず、認証が含まれます。

ワークロード ID フェデレーションなし

アカウント・キー (完全な JSON スニペット): Google サービス・アカウント・キー JSON ファイルの内容
クライアント ID、クライアント機密事項、アクセス・トークン、およびリフレッシュ・トークン

ワークロード ID フェデレーションを使用
認証に外部 ID プロバイダー (IdP) を使用します。外部 ID プロバイダーは、サービス・アカウント・キーではなく、ID およびアクセス管理 (IAM) を使用します。 IAM は、セキュリティーを強化し、管理を一元化します。ワークロードIDフェデレーション認証は、アクセストークンまたはトークン URL を使用して行うことができます。

ワークロード ID フェデレーション用のGoogle BigQuery接続は、OpenIDConnect (OIDC) 仕様に準拠し、「外部IdPの準備」に記載されているGoogle Cloudの要件を満たす ID プロバイダと設定できます。以下の要件があります。

ID プロバイダーは、 OpenID Connect 1.0をサポートする必要があります。
ID プロバイダーの OIDC メタデータおよび JWKS エンドポイントは、インターネット経由でパブリックにアクセス可能でなければなりません。 Google Cloud は、これらのエンドポイントを使用して ID プロバイダーの鍵セットをダウンロードし、その鍵セットを使用してトークンを検証します。
ID プロバイダーは、ワークロードが以下の基準を満たす ID トークンを取得できるように構成されています。
- トークンは、 RS256 または ES256 アルゴリズムで署名されます。
- トークンには aud クレームが含まれています。

Amazon Web ServicesAWSおよびMicrosoft Azure のワークロード ID フェデレーション構成手順の例については、以下を参照のこと。

Workload Identity Federation とアクセス・トークン接続の詳細

アクセス・トークン: BigQueryに接続するための ID プロバイダーからのアクセス・トークン。

セキュリティー・トークン・サービスの対象者: プロジェクト ID、プール ID、およびプロバイダー ID を含むセキュリティー・トークン・サービスの対象者。次の形式を使用します。

//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

詳細については、REST APIを使用したワークロードの認証を参照してください。

サービス・アカウントの E メール: 偽名を使用する Google サービス・アカウントの E メール・アドレス。詳細については、外部ワークロード用のサービスアカウントの作成を参照してください。
サービス・アカウント・トークン存続時間 (オプション): サービス・アカウント・アクセス・トークンの存続時間 (秒単位)。サービス・アカウント・アクセス・トークンのデフォルトの存続時間は 1 時間です。詳細については、 URL をソースとする認証情報をご覧ください。
トークン・フォーマット: トークンを含む JSON 応答内のフィールドの名前のトークン・フィールド名を含むテキストまたは JSON。
トークン・フィールド名: トークンが含まれている JSON 応答内のフィールドの名前。このフィールドは、 「トークン形式」 が JSON の場合にのみ表示されます。
トークン・タイプ: AWS Signature Version 4 要求、 Google OAuth 2.0 アクセス・トークン、ID トークン、JSON Web Token (JWT)、または SAML 2.0。

ワークロードアイデンティティフェデレーショントークン URL 接続詳細

//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

詳細については、「REST API を使用してワークロードを認証する」を参照してください。

サービス・アカウントの E メール: 偽名を使用する Google サービス・アカウントの E メール・アドレス。詳細については、外部ワークロード用のサービスアカウントの作成を参照してください。
サービス・アカウント・トークン存続時間 (オプション): サービス・アカウント・アクセス・トークンの存続時間 (秒単位)。サービス・アカウント・アクセス・トークンのデフォルトの存続時間は 1 時間です。詳細については、 URL をソースとする認証情報をご覧ください。
トークン URL : トークンを取得するには、 URL を使用します。
HTTP 方法： HTTP トークンに使用するメソッドリクエスト：GET、POST、またはPUT。 URL
リクエストボディ （POSTまたはPUTメソッド用）：トークンを取得するための HTTP リクエストのボディ。
HTTP headers : トークンのためのヘッダーリクエストをJSONで、またはJSONボディとして送信します。 HTTP URL "Key1"="Value1","Key2"="Value2"という形式を使用します。
トークン・フォーマット: トークンを含む JSON 応答内のフィールドの名前のトークン・フィールド名を含むテキストまたは JSON。
トークン・フィールド名: トークンが含まれている JSON 応答内のフィールドの名前。このフィールドは、 「トークン形式」 が JSON の場合にのみ表示されます。
トークン・タイプ: AWS Signature Version 4 要求、 Google OAuth 2.0 アクセス・トークン、ID トークン、JSON Web Token (JWT)、または SAML 2.0。

サーバープロキシ（オプション）

Google Cloud Storage データソースにアクセスするには、 HTTPS プロキシサーバー経由でサーバープロキシを選択します。プロキシサーバーは、設定に応じて、負荷分散、セキュリティの強化、プライバシー保護を提供できます。プロキシサーバーの設定は、認証資格情報や個人資格情報または共有資格情報の選択とは無関係です。セキュリティを強化するために SSL 証明書を提供できます。

プロキシホスト ： HTTPS プロキシサーバーのホスト名またはIPアドレス。例えば、 proxy.example.com または 192.0.2.0などです。
プロキシポート ： HTTPS プロキシサーバーに接続するためのポート番号。例えば、 8080 または 8443などです。
プロキシユーザー名そしてプロキシパスワード。

その他のプロパティー

「プロジェクト ID」 (オプション) Google プロジェクトの ID。

プラットフォーム内の場所に基づいて接続を作成する方法を選択してください

プロジェクト内: 「アセット」>「新規アセット」>「データ・ソースへの接続」をクリックします。プロジェクトへの接続の追加を参照してください。
カタログ内: 「カタログに追加」>「接続」をクリックしてください。カタログへの接続資産の追加を参照してください。
デプロイメント・スペース内: 「アセットのインポート」>「データ・アクセス」>「接続」をクリックします。デプロイメント・スペースへのデータ資産の追加を参照してください。
Platform assets catalog: 新規接続をクリックしてください。プラットフォーム接続の追加を参照してください。