Google Cloud Storage 接続
Google Cloud Storage 内のデータにアクセスするには、そのデータ用の接続資産を作成します。
Google Cloud Storage は、 Google Cloud Platform Infrastructure 上のデータを保管およびアクセスするためのオンライン・ファイル・ストレージ Web サービスです。
Google Cloud Storage への接続を作成します
接続資産を作成するには、認証方式を選択します。 選択項目には、ワークロード ID フェデレーションの有無にかかわらず、認証が含まれます。
ワークロード ID フェデレーションなし
- アカウント・キー (完全な JSON スニペット): Google サービス・アカウント・キー JSON ファイルの内容
- クライアント ID、クライアント機密事項、アクセス・トークン、およびリフレッシュ・トークン
ワークロード ID フェデレーションを使用
認証に外部 ID プロバイダー (IdP) を使用します。 外部 ID プロバイダーは、サービス・アカウント・キーではなく、ID およびアクセス管理 (IAM) を使用します。 IAM は、セキュリティーを強化し、管理を一元化します。 ワークロード ID フェデレーション認証は、アクセストークンを使用するか、トークン URL を使用して使用することができます。
ワークロード ID フェデレーション用のGoogle BigQuery接続は、OpenIDConnect (OIDC) 仕様に準拠し、「外部IdPの準備」に記載されているGoogle Cloudの要件を満たす ID プロバイダと設定できます。 以下の要件があります。
- ID プロバイダーは、 OpenID Connect 1.0をサポートする必要があります。
- ID プロバイダーの OIDC メタデータおよび JWKS エンドポイントは、インターネット経由でパブリックにアクセス可能でなければなりません。 Google Cloud は、これらのエンドポイントを使用して ID プロバイダーの鍵セットをダウンロードし、その鍵セットを使用してトークンを検証します。
- ID プロバイダーは、ワークロードが以下の基準を満たす ID トークンを取得できるように構成されています。
- トークンは、 RS256 または ES256 アルゴリズムで署名されます。
- トークンには aud クレームが含まれています。
Amazon Web ServicesAWSおよびMicrosoft Azure のワークロード ID フェデレーション構成手順の例 については、以下を参照のこと。
Workload Identity Federation とアクセス・トークン接続の詳細
アクセス・トークン: BigQueryに接続するための ID プロバイダーからのアクセス・トークン。
セキュリティー・トークン・サービスの対象者: プロジェクト ID、プール ID、およびプロバイダー ID を含むセキュリティー・トークン・サービスの対象者。 以下のフォーマットを使用します。
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID詳細については、REST APIを使用したワークロードの認証を参照してください。
サービス・アカウントの E メール: 偽名を使用する Google サービス・アカウントの E メール・アドレス。 詳細については、外部ワークロード用のサービスアカウントの作成を参照してください。
サービス・アカウント・トークン存続時間 (オプション): サービス・アカウント・アクセス・トークンの存続時間 (秒単位)。 サービス・アカウント・アクセス・トークンのデフォルトの存続時間は 1 時間です。 詳細については、 URL ソースの資格情報 」 を参照してください。
トークン・フォーマット: トークンを含む JSON 応答内のフィールドの名前のトークン・フィールド名を含むテキストまたは JSON。
トークン・フィールド名: トークンが含まれている JSON 応答内のフィールドの名前。 このフィールドは、 「トークン形式」 が JSON の場合にのみ表示されます。
トークン・タイプ: AWS Signature Version 4 要求、 Google OAuth 2.0 アクセス・トークン、ID トークン、JSON Web Token (JWT)、または SAML 2.0。
トークンによるワークロード ID フェデレーション URL 接続の詳細
セキュリティー・トークン・サービスの対象者: プロジェクト ID、プール ID、およびプロバイダー ID を含むセキュリティー・トークン・サービスの対象者。 以下のフォーマットを使用します。
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID詳細については、「REST API を使用してワークロードを認証する」を参照してください。
サービス・アカウントの E メール: 偽名を使用する Google サービス・アカウントの E メール・アドレス。 詳細については、外部ワークロード用のサービスアカウントの作成を参照してください。
サービス・アカウント・トークン存続時間 (オプション): サービス・アカウント・アクセス・トークンの存続時間 (秒単位)。 サービス・アカウント・アクセス・トークンのデフォルトの存続時間は 1 時間です。 詳細については、 URL ソースの資格情報 」 を参照してください。
Token URL : トークンを取得するための URL。
HTTP method : トークン リクエストに使用するメソッド:GET、POST、またはPUT。 HTTP URL
リクエスト・ボディ (POST または PUT メソッドの場合):トークンを取得するための HTTP リクエスト本文。
HTTP headers : トークン リクエストのヘッダを JSON で、または JSON のボディとして 送ります。 URL HTTP
"Key1"="Value1","Key2"="Value2"トークン・フォーマット: トークンを含む JSON 応答内のフィールドの名前のトークン・フィールド名を含むテキストまたは JSON。
トークン・フィールド名: トークンが含まれている JSON 応答内のフィールドの名前。 このフィールドは、 「トークン形式」 が JSON の場合にのみ表示されます。
トークン・タイプ: AWS Signature Version 4 要求、 Google OAuth 2.0 アクセス・トークン、ID トークン、JSON Web Token (JWT)、または SAML 2.0。
サーバープロキシ(オプション)
HTTPS プロキシサーバーを経由して Google Cloud Storage データソースにアクセスするには、 Server proxy を選択します。 プロキシ サーバーは、設定に応じて、負荷分散、セキュリティの強化、プライバシー保護を提供できます。 プロキシ サーバーの設定は、認証資格情報や個人資格情報または共有資格情報の選択とは無関係です。 セキュリティを強化するために SSL 証明書を提供できます。
- Proxy host : HTTPS プロキシサーバーのホスト名またはIPアドレス。 例えば、
proxy.example.com192.0.2.0 - プロキシポート : HTTPS プロキシサーバーに接続するポート番号。 例えば、
80808443 - プロキシユーザー名そしてプロキシパスワード。
その他のプロパティー
「プロジェクト ID」 (オプション) Google プロジェクトの ID。
プラットフォーム内の場所に基づいて接続を作成する方法を選択してください
- プロジェクト内
- 「アセット」>「新規アセット」>「データ・ソースへの接続」をクリックします。 プロジェクトへの接続の追加を参照してください。
- デプロイメント・スペース内
- 「アセットのインポート」>「データ・アクセス」>「接続」をクリックします。 デプロイメント・スペースへのデータ資産の追加を参照してください。
- Platform assets catalog
- 新規接続をクリックしてください。 プラットフォーム接続の追加を参照してください。
次のステップ: 接続からデータ資産を追加する
- プロジェクトでの接続からのデータの追加を参照してください。
サポートされるファイル・タイプ
Google Cloud Storage 接続は、Avro、CSV、Delimited テキスト、Excel、JSON、ORC、Parquet、SAS、SAV、SHP、および XML の各ファイル・タイプをサポートします。
テーブル・フォーマット
Google Cloud Storage 接続は、Data Lake のテーブルフォーマットである Delta Lake と Iceberg をサポートしている。
詳細情報
親トピック: サポートされた接続