Google Cloud Storage 内のデータにアクセスするには、そのデータ用の接続資産を作成します。
Google Cloud Storage は、 Google Cloud Platform Infrastructure 上のデータを保管およびアクセスするためのオンライン・ファイル・ストレージ Web サービスです。
Google Cloud Storage への接続を作成します
Copy link to section
接続資産を作成するには、認証方式を選択します。 選択項目には、ワークロード ID フェデレーションの有無にかかわらず、認証が含まれます。
ワークロード ID フェデレーションなし
アカウント・キー (完全な JSON スニペット): Google サービス・アカウント・キー JSON ファイルの内容
クライアント ID、クライアント機密事項、アクセス・トークン、およびリフレッシュ・トークン
ワークロード ID フェデレーションを使用 認証に外部 ID プロバイダー (IdP) を使用します。 外部 ID プロバイダーは、サービス・アカウント・キーではなく、ID およびアクセス管理 (IAM) を使用します。 IAM は、セキュリティーを強化し、管理を一元化します。 ワークロード ID フェデレーション認証は、アクセストークンを使用するか、トークン URL を使用して使用することができます。
ワークロード ID フェデレーション用のGoogle BigQuery接続は、OpenIDConnect (OIDC) 仕様に準拠し、「外部IdPの準備」に記載されているGoogle Cloudの要件を満たす ID プロバイダと設定できます。 以下の要件があります。
ID プロバイダーは、 OpenID Connect 1.0をサポートする必要があります。
ID プロバイダーの OIDC メタデータおよび JWKS エンドポイントは、インターネット経由でパブリックにアクセス可能でなければなりません。 Google Cloud は、これらのエンドポイントを使用して ID プロバイダーの鍵セットをダウンロードし、その鍵セットを使用してトークンを検証します。
ID プロバイダーは、ワークロードが以下の基準を満たす ID トークンを取得できるように構成されています。
トークンは、 RS256 または ES256 アルゴリズムで署名されます。
トークンには aud クレームが含まれています。
Amazon Web ServicesAWSおよびMicrosoft Azure のワークロード ID フェデレーション構成手順の例 については、以下を参照のこと。
Workload Identity Federation とアクセス・トークン接続の詳細
Copy link to section
アクセス・トークン: BigQueryに接続するための ID プロバイダーからのアクセス・トークン。
セキュリティー・トークン・サービスの対象者: プロジェクト ID、プール ID、およびプロバイダー ID を含むセキュリティー・トークン・サービスの対象者。 以下のフォーマットを使用します。