Conexión de Google Cloud Pub/Sub
Para acceder a sus datos en Google Cloud Pub/Sub, cree un activo de conexión para los mismos.
Google Cloud Pub/Sub se utiliza para la transmisión de datos y la distribución de datos por parte de las interconexiones de análisis e integración de datos. Esta conexión sólo está disponible para el servicio DataStage.
Crear una conexión con Google Cloud Pub/Sub
Para crear el activo de conexión, elija un método de autenticación. Las opciones incluyen una autenticación con o sin federación de identidad de carga de trabajo.
Sin federación de identidad de carga de trabajo
- Clave de cuenta (fragmento de código JSON completo): el contenido del archivo JSON de clave de cuenta de servicio de Google .
- ID de cliente, secreto de cliente, señal de acceso y señal de renovación
Con federación de identidad de carga de trabajo
Utilice un proveedor de identidad externo (IdP) para la autenticación. Un proveedor de identidad externo utiliza Identity and Access Management (IAM) en lugar de claves de cuenta de servicio. IAM proporciona una mayor seguridad y una gestión centralizada. Puede utilizar la autenticación de federación de identidad de carga de trabajo con una señal de acceso o con un URL de señal.
Puede configurar una conexión de Google BigQuery para la federación de identidades de carga de trabajo con cualquier proveedor de identidades que cumpla con la especificación OpenID Connect (OIDC) y que satisfaga los requisitos de Google Cloud que se describen en Prepare su IdP externo. Los requisitos incluyen:
- El proveedor de identidad debe dar soporte a OpenID Connect 1.0.
- Los metadatos OIDC del proveedor de identidad y los puntos finales JWKS deben ser accesibles públicamente a través de Internet. Google Cloud utiliza estos puntos finales para descargar el conjunto de claves del proveedor de identidades y utiliza dicho conjunto de claves para validar señales.
- El proveedor de identidad está configurado para que la carga de trabajo pueda obtener señales de ID que cumplan estos criterios:
- Las señales se firman con el algoritmo RS256 o ES256 .
- Las señales contienen una reclamación aud.
Para ver ejemplos de los pasos de configuración de federación de identidad de carga de trabajo para Amazon Web Services (AWS) y Microsoft Azure, consulte Ejemplos de federación de identidad de carga de trabajo.
Detalles de federación de identidades de carga de trabajo con conexión de señal de acceso
Señal de acceso: una señal de acceso del proveedor de identidades para conectarse a BigQuery.
Audiencia de servicio de señal de seguridad: la audiencia de servicio de señal de seguridad que contiene el ID de proyecto, el ID de agrupación y el ID de proveedor. Utilice este formato:
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_IDPara obtener más información, consulte Autenticar una carga de trabajo mediante la API REST.
Correo electrónico de cuenta de servicio: la dirección de correo electrónico de la cuenta de servicio de Google que se va a suplantar. Para obtener más información, consulte Crear una cuenta de servicio para la carga de trabajo externa.
Tiempo de vida de señal de cuenta de servicio (opcional): el tiempo de vida en segundos de la señal de acceso de cuenta de servicio. El tiempo de vida predeterminado de una señal de acceso de cuenta de servicio es de una hora. Para obtener más información, consulte Credenciales de origen URL.
Formato de señal: Texto o JSON con el nombre del campo Señal para el nombre del campo en la respuesta JSON que contiene la señal.
Nombre de campo de señal: el nombre del campo en la respuesta JSON que contiene la señal. Este campo sólo aparece cuando el Formato de señal es JSON.
Tipo de señal: solicitud AWS Signature Versión 4, Google OAuth 2.0 señal de acceso, señal de ID, JSON Web Token (JWT) o SAML 2.0.
Detalles de conexión de federación de identidades de carga de trabajo con URL de señal
Audiencia de servicio de señal de seguridad: la audiencia de servicio de señal de seguridad que contiene el ID de proyecto, el ID de agrupación y el ID de proveedor. Utilice este formato:
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_IDPara obtener más información, consulte Autenticar una carga de trabajo mediante la API REST.
Correo electrónico de cuenta de servicio: la dirección de correo electrónico de la cuenta de servicio de Google que se va a suplantar. Para obtener más información, consulte Crear una cuenta de servicio para la carga de trabajo externa.
Tiempo de vida de señal de cuenta de servicio (opcional): el tiempo de vida en segundos de la señal de acceso de cuenta de servicio. El tiempo de vida predeterminado de una señal de acceso de cuenta de servicio es de una hora. Para obtener más información, consulte Credenciales de origen URL.
URL de señal: el URL para recuperar una señal.
Método HTTP: método HTTP que se debe utilizar para la solicitud de URL de señal: GET, POST o PUT.
Cuerpo de solicitud (para métodos POST o PUT): el cuerpo de la solicitud HTTP para recuperar una señal.
Cabeceras HTTP: cabeceras HTTP para la solicitud de URL de señal en JSON o como un cuerpo JSON. Utilice el formato:
"Key1"="Value1","Key2"="Value2".Formato de señal: Texto o JSON con el nombre del campo Señal para el nombre del campo en la respuesta JSON que contiene la señal.
Nombre de campo de señal: el nombre del campo en la respuesta JSON que contiene la señal. Este campo sólo aparece cuando el Formato de señal es JSON.
Tipo de señal: solicitud AWS Signature Versión 4, Google OAuth 2.0 señal de acceso, señal de ID, JSON Web Token (JWT) o SAML 2.0.
ID de proyecto: (Opcional) ID del proyecto de Google
Elija el método para crear una conexión basada en el lugar en el que se encuentra en la plataforma
- En un proyecto
- Pulse Activos > Nuevo activo > Conectar a un origen de datos. Consulte Adición de una conexión a un proyecto.
- En el catálogo de activos de la plataforma
- Pulse Nueva conexión. Consulte Adición de conexiones de plataforma.
- En un espacio de despliegue
- Pulse Importar activos > Acceso a datos > Conexión. Consulte Adición de activos de datos a un espacio de despliegue.
Dónde puede utilizar esta conexión
Puede utilizar la conexión Google Cloud Pub/Sub en los siguientes espacios de trabajo y herramientas:
Proyectos
- DataStage (servicioDataStage ). Consulte Conexión a un origen de datos en DataStage.
Catálogos
- Platform assets catalog
Configuración de Google Cloud Pub/Sub
Más información
- Ejemplos de federación de identidad de carga de trabajo
- Google Cloud Pub/Sub
- Descripción general deGoogle Cloud Authentication
- Adición de un activo de datos conectado
Tema principal: Conexiones soportadas