Google Cloud Pub/Sub-Verbindung | IBM Cloud Pak for Data as a Service

Zurück zur englischen Version der Dokumentation

Google Cloud Pub/Sub-Verbindung

Letzte Aktualisierung: 28. Nov. 2024

Google Cloud Pub/Sub-Verbindung

Sie können ein Verbindungsasset für den Zugriff auf Ihre Daten in Google Cloud Pub/Sub erstellen.

Google Cloud Pub/Sub wird für Streaming-Analysen und Datenintegrations-Pipelines für die Aufnahme und Verteilung von Daten verwendet. Diese Verbindung ist nur für den DataStage-Dienst verfügbar.

Verbindung zu Google Cloud Pub/Sub erstellen

Wählen Sie zum Erstellen des Verbindungsassets eine Authentifizierungsmethode aus. Zu den Auswahlmöglichkeiten gehören eine Authentifizierung mit oder ohne Workload-Identitätsföderation.

Ohne Einbindung der Workload-ID

Kontoschlüssel (vollständiges JSON-Snippet): Der Inhalt der JSON-Datei mit dem Google -Servicekontoschlüssel.
Client-ID, geheimer Clientschlüssel, Zugriffstoken und Aktualisierungstoken.

Mit Workload-Identitätsföderation
Sie verwenden einen externen Identitätsprovider (IdP) für die Authentifizierung. Ein externer Identitätsprovider verwendet Identity and Access Management (IAM) anstelle von Servicekontoschlüsseln. IAM bietet mehr Sicherheit und zentralisiertes Management. Sie können die Workload-Identitätsföderationsauthentifizierung mit einem Zugriffstoken oder mit einer Token-URL verwenden.

Sie können eine Google BigQuery für den Workload-Identitätsverbund mit einem beliebigen Identitätsanbieter konfigurieren, der die OpenID Connect (OIDC)-Spezifikation erfüllt und die Google Cloud einhält, die in Bereiten Sie Ihren externen IdP vor beschrieben sind. Zu den Anforderungen gehören:

Der Identitätsprovider muss OpenID Connect 1.0unterstützen.
Die OIDC-Metadaten und JWKS-Endpunkte des Identitätsproviders müssen über das Internet öffentlich zugänglich sein. Google Cloud verwendet diese Endpunkte zum Download des Schlüsselsatzes Ihres Identitätsproviders und verwendet diesen Schlüsselsatz zum Validieren von Tokens.
Der Identitätsprovider ist so konfiguriert, dass Ihre Workload ID-Tokens abrufen kann, die die folgenden Kriterien erfüllen:
- Tokens werden mit dem Algorithmus RS256 oder ES256 signiert.
- Tokens enthalten einen aud-Anspruch.

Beispiele für die Konfigurationsschritte für die Einbindung von Workload-Identitäten für Amazon Web Services (AWS) und Microsoft Azurefinden Sie unter Beispiele für die Einbindung von Workload-Identitäten.

Workload Identity Federation mit Zugriffstokenverbindungsdetails

Zugriffstoken: Ein Zugriffstoken vom Identitätsprovider für die Verbindung zu BigQuery.
Zielgruppe des Sicherheitstokenservice: Die Zielgruppe des Sicherheitstokenservice, die die Projekt-ID, die Pool-ID und die Provider-ID enthält Verwenden Sie das folgende Format:
```
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
```
Weitere Informationen finden Sie unter Authentifizieren eines Workloads mithilfe der REST-API.
Service account email: Die E-Mail-Adresse des Google -Servicekontos, dessen Identität angenommen werden soll. Weitere Informationen finden Sie unter Erstellen eines Dienstkontos für den externen Workload.
Lebensdauer des Servicekontotokens (optional): Die Lebensdauer des Servicekontozugriffstokens in Sekunden. Die Standardlebensdauer eines Servicekontozugriffstokens beträgt eine Stunde. Weitere Informationen finden Sie unter URL-vermittelte Anmeldeinformationen.
Tokenformat: Text oder JSON mit dem Tokenfeldnamen für den Namen des Felds in der JSON-Antwort, die das Token enthält
Tokenfeldname: Der Name des Felds in der JSON-Antwort, das das Token enthält. Dieses Feld wird nur angezeigt, wenn das Tokenformat JSON ist.
Tokentyp: AWS Signature Version 4-Anforderung, Google OAuth 2.0 -Zugriffstoken, ID-Token, JSON Web Token (JWT) oder SAML 2.0.

Workload Identity Federation mit Token-URL-Verbindungsdetails

Zielgruppe des Sicherheitstokenservice: Die Zielgruppe des Sicherheitstokenservice, die die Projekt-ID, die Pool-ID und die Provider-ID enthält Verwenden Sie das folgende Format:
```
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
```
Weitere Informationen finden Sie unter Authentifizieren eines Workloads mit der REST-API.
Service account email: Die E-Mail-Adresse des Google -Servicekontos, dessen Identität angenommen werden soll. Weitere Informationen finden Sie unter Erstellen eines Dienstkontos für den externen Workload.
Lebensdauer des Servicekontotokens (optional): Die Lebensdauer des Servicekontozugriffstokens in Sekunden. Die Standardlebensdauer eines Servicekontozugriffstokens beträgt eine Stunde. Weitere Informationen finden Sie unter URL-vermittelte Anmeldeinformationen.
Token-URL: Die URL zum Abrufen eines Tokens.
HTTP-Methode: Die für die Token-URL-Anforderung zu verwendende HTTP-Methode: GET, POST oder PUT.
Anforderungshauptteil (für POST-oder PUT-Methoden): Der Hauptteil der HTTP-Anforderung zum Abrufen eines Tokens.
HTTP-Header: HTTP-Header für die Token-URL-Anforderung in JSON oder als JSON-Hauptteil. Verwenden Sie das Format: "Key1"="Value1","Key2"="Value2".
Tokenformat: Text oder JSON mit dem Tokenfeldnamen für den Namen des Felds in der JSON-Antwort, die das Token enthält
Tokenfeldname: Der Name des Felds in der JSON-Antwort, das das Token enthält. Dieses Feld wird nur angezeigt, wenn das Tokenformat JSON ist.
Tokentyp: AWS Signature Version 4-Anforderung, Google OAuth 2.0 -Zugriffstoken, ID-Token, JSON Web Token (JWT) oder SAML 2.0.

Projekt-ID: (Optional) Die ID des Google -Projekts.

Je nach Position auf der Plattform geeignete Methode zum Erstellen einer Verbindung auswählen

In einem Projekt: Klicken Sie auf Assets > Neues Asset > Verbindung zu einer Datenquelle herstellen. Weitere Informationen finden Sie unter Verbindung zu einem Projekt hinzufügen.
Im Katalog der Plattformressourcen: Klicken Sie auf Neue Verbindung. Weitere Informationen finden Sie unter Hinzufügen von Plattformverbindungen.
In einem Bereitstellungsbereich: Klicken Sie auf Assets importieren > Datenzugriff > Verbindung. Siehe Datenassets zu einem Bereitstellungsbereich hinzufügen.