Per accedere ai dati in Google Cloud Storage, crea un asset di connessione per esso.
Google Cloud Storage è un servizio web di archiviazione file online per la memorizzazione e l'accesso ai dati su Google Cloud Platform Infrastructure.
Crea una connessione a Google Cloud Storage
Copy link to section
Per creare l'asset di connessione, scegliere un metodo di autenticazione. Le scelte includono un'autenticazione con o senza la federazione di identità del carico di lavoro.
Senza federazione di identità workload
Chiave account (frammento JSON completo): il contenuto del file JSON della chiave account del servizio Google
ID client, segreto client, token di accesso e token di aggiornamento
Con la federazione dell'identità del carico di lavoro Utilizzare un provider di identità esterno (IdP) per l'autenticazione. Un provider di identità esterno utilizza IAM (Identity and Access Management) invece delle chiavi account del servizio. IAM fornisce una maggiore sicurezza e una gestione centralizzata. È possibile utilizzare l'autenticazione di federazione di identità del carico di lavoro con un token di accesso o con un URL token.
Puoi configurare una connessione Google BigQuery per la federazione delle identità del carico di lavoro con qualsiasi provider di identità conforme alla specifica OpenID Connect (OIDC) e che soddisfi i requisiti Google Cloud descritti in Preparare l' IdP esterno . I requisiti includono:
Il provider di identità deve supportare OpenID Connect 1.0.
I metadati OIDC del provider di identità e gli endpoint JWKS devono essere accessibili pubblicamente su internet. Google Cloud utilizza questi endpoint per scaricare la serie di chiavi del provider di identità e utilizza tale serie di chiavi per convalidare i token.
Il provider di identità è configurato in modo che il tuo carico di lavoro possa ottenere token ID che soddisfano questi criteri:
I token sono firmati con l'algoritmo RS256 o ES256 .
I token contengono una richiesta aud.
Per esempi di configurazione della federazione di identità del carico di lavoro per Amazon Web ServicesAWS) e Microsoft Azure, vedere .
Dettagli di connessione di Workload Identity Federation con token di accesso
Copy link to section
Token di accesso: un token di accesso dal provider di identità per connettersi a BigQuery.
Destinatario del servizio token di sicurezza: il destinatario del servizio token di sicurezza che contiene l'ID progetto, l'ID pool e l'ID provider. Utilizzare questo formato:
Durata token account di servizio (facoltativo): la durata in secondi del token di accesso dell'account di servizio. La durata predefinita di un token di accesso dell'account di servizio è un'ora. Per ulteriori informazioni, vedere Credenziali basate su URL .
Formato token: testo o JSON con il nome del campo Token per il nome del campo nella risposta JSON che contiene il token.
Nome campo token: il nome del campo nella risposta JSON che contiene il token. Questo campo viene visualizzato solo quando il Formato token è JSON.
Tipo token: richiesta AWS Signature Version 4, Google OAuth 2.0 access token, ID token, JWT (JSON Web Token) o SAML 2.0.
Federazione di identità del carico di lavoro con dettagli di connessione URL token
Copy link to section
Destinatario del servizio token di sicurezza: il destinatario del servizio token di sicurezza che contiene l'ID progetto, l'ID pool e l'ID provider. Utilizzare questo formato:
Durata token account di servizio (facoltativo): la durata in secondi del token di accesso dell'account di servizio. La durata predefinita di un token di accesso dell'account di servizio è un'ora. Per ulteriori informazioni, vedere Credenziali basate su URL .
URL token: l'indirizzo URL per richiamare un token.
Metodo HTTP: metodo HTTP da utilizzare per la richiesta URL token: GET, POST o PUT.
Corpo richiesta (per i metodi POST o PUT): il corpo della richiesta HTTP per richiamare un token.
Intestazioni HTTP: intestazioni HTTP per la richiesta URL token in JSON o come corpo JSON. Utilizzare il formato "Key1"="Value1","Key2"="Value2".
Formato token: testo o JSON con il nome del campo Token per il nome del campo nella risposta JSON che contiene il token.
Nome campo token: il nome del campo nella risposta JSON che contiene il token. Questo campo viene visualizzato solo quando il Formato token è JSON.
Tipo token: richiesta AWS Signature Version 4, Google OAuth 2.0 access token, ID token, JWT (JSON Web Token) o SAML 2.0.
Proxy del server (facoltativo)
Copy link to section
Selezionare Proxy del server per accedere al Google Cloud Storage origine dati tramite un server proxy HTTPS. A seconda della sua configurazione, un server proxy può fornire bilanciamento del carico, maggiore sicurezza e privacy. Le impostazioni del server proxy sono indipendenti dalle credenziali di autenticazione e dalla selezione delle credenziali personali o condivise. Per una maggiore sicurezza è possibile fornire un certificato SSL.
Ospite proxy : il nome host o l'indirizzo IP del server proxy HTTPS. Per esempio,proxy.example.com O192.0.2.0 .
Porta proxy : il numero di porta per connettersi al server proxy HTTPS. Per esempio,8080 O8443 .
Nome utente proxy E Password proxy.
Altre proprietà
Copy link to section
ID progetto (facoltativo) L'ID del progetto Google .
Scegliere il metodo per la creazione di una connessione in base alla posizione in cui ci si trova nella piattaforma