Google Cloud Pub / Sous-connexion

Dernière mise à jour : 15 avr. 2025

Pour accéder à vos données dans Google Cloud Pub / Sub, créez un actif de connexion pour celles-ci.

Google Cloud Pub / Sub est utilisé pour l'analyse en continu et les pipelines d'intégration de données pour ingérer et distribuer des données. Cette connexion n'est disponible que pour le service DataStage.

Créer une connexion à Google Cloud Pub / Sub

Pour créer l'actif de connexion, choisissez une méthode d'authentification. Les options incluent une authentification avec ou sans fédération d'identité de charge de travail.

Sans fédération d'identité de charge de travail

Clé de compte (fragment JSON complet): contenu du fichier JSON de clé de compte de service Google .
ID client, secret client, jeton d'accès et jeton de régénération

Avec la fédération d'identité de charge de travail
Vous utilisez un fournisseur d'identité externe (IdP) pour l'authentification. Un fournisseur d'identité externe utilise IAM (Identity and Access Management) à la place des clés de compte de service. IAM offre une sécurité accrue et une gestion centralisée. Vous pouvez utiliser l'authentification par fédération d'identité de la charge de travail avec un jeton d'accès ou avec un jeton URL.

Vous pouvez configurer une connexion Google BigQuery pour la fédération d'identité de charge de travail avec n'importe quel fournisseur d'identité conforme à la spécification OpenID Connect (OIDC) et répondant aux exigences de Google Cloud décrites dans la section Préparer votre IdP externe. Les conditions requises sont les suivantes:

Le fournisseur d'identité doit prendre en charge OpenID Connect 1.0.
Les métadonnées OIDC et les noeuds finaux JWKS du fournisseur d'identité doivent être accessibles au public sur Internet. Google Cloud utilise ces noeuds finaux pour télécharger l'ensemble de clés de votre fournisseur d'identité et utilise cet ensemble de clés pour valider les jetons.
Le fournisseur d'identité est configuré de sorte que votre charge de travail puisse obtenir des jetons d'ID qui répondent aux critères suivants:
- Les jetons sont signés avec l'algorithme RS256 ou ES256 .
- Les jetons contiennent une réclamation aud.

Pour des exemples d'étapes de configuration de la fédération d'identité de charge de travail pour Amazon Web Services (AWS) et Microsoft Azure, voir Exemples de fédération d'identité de charge de travail.

Fédération d'identité de charge de travail avec détails de connexion de jeton d'accès

Jeton d'accès: jeton d'accès du fournisseur d'identité permettant de se connecter à BigQuery.

Public du service de jeton de sécurité: Public du service de jeton de sécurité qui contient l'ID de projet, l'ID de pool et l'ID de fournisseur. Utilisez le format suivant :

//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

Pour plus d'informations, voir Authentifier une charge de travail à l'aide de l'API REST.

Adresse électronique du compte de service: adresse électronique du compte de service Google dont l'identité doit être usurpée. Pour plus d'informations, voir Créer un compte de service pour la charge de travail externe.
Durée de vie du jeton de compte de service (facultatif): durée de vie en secondes du jeton d'accès du compte de service. La durée de vie par défaut d'un jeton d'accès au compte de service est d'une heure. Pour plus d'informations, voir URL.
Format de jeton: texte ou JSON avec le nom de zone de jeton pour le nom de la zone dans la réponse JSON qui contient le jeton.
Token field name: nom de la zone dans la réponse JSON qui contient le jeton. Cette zone s'affiche uniquement lorsque le Format de jeton est JSON.
Type de jeton: demande AWS Signature Version 4, jeton d'accès Google OAuth 2.0 , jeton d'ID, jeton Web JSON (JWT) ou SAML 2.0.

Workload Identity Federation avec jeton URL détails de connexion

Public du service de jeton de sécurité: Public du service de jeton de sécurité qui contient l'ID de projet, l'ID de pool et l'ID de fournisseur. Utilisez le format suivant :

//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

Pour plus d'informations, voir Authentifier une charge de travail à l'aide de l'API REST.

Adresse électronique du compte de service: adresse électronique du compte de service Google dont l'identité doit être usurpée. Pour plus d'informations, voir Créer un compte de service pour la charge de travail externe.
Durée de vie du jeton de compte de service (facultatif): durée de vie en secondes du jeton d'accès du compte de service. La durée de vie par défaut d'un jeton d'accès au compte de service est d'une heure. Pour plus d'informations, voir URL.
Token URL : Le URL pour récupérer un token.
HTTP method : HTTP méthode à utiliser pour la demande de jeton URL : GET, POST ou PUT.
Corps de la demande (pour les méthodes POST ou PUT) : Le corps de la requête HTTP pour récupérer un jeton.
HTTP headers : HTTP headers for the token URL request in JSON or as a JSON body. Utilisez le format: "Key1"="Value1","Key2"="Value2".
Format de jeton: texte ou JSON avec le nom de zone de jeton pour le nom de la zone dans la réponse JSON qui contient le jeton.
Token field name: nom de la zone dans la réponse JSON qui contient le jeton. Cette zone s'affiche uniquement lorsque le Format de jeton est JSON.
Type de jeton: demande AWS Signature Version 4, jeton d'accès Google OAuth 2.0 , jeton d'ID, jeton Web JSON (JWT) ou SAML 2.0.

ID projet: (facultatif) ID du projet Google

Choisissez la méthode de création d'une connexion basée sur l'emplacement dans la plateforme.

Dans un projet: Cliquez sur Actifs > Nouvel actif > Connexion à une source de données. Voir Ajout d'une connexion à un projet.
Dans le catalogue d'actifs de la plateforme: Cliquez sur Nouvelle connexion. Voir Ajout de connexions de plateforme.
Dans un espace de déploiement: Cliquez sur Importer les actifs > Accès aux données > Connexion. Voir Ajout d'actifs de données à un espace de déploiement.