Google Cloud Pub/Sub에서 데이터에 액세스하려면 이에 대한 연결 자산을 작성합니다.
데이터를 수집하고 배포하기 위해 스트리밍 분석 및 데이터 통합 파이프라인에 Google Cloud Pub/Sub가 사용됩니다. 이 연결은 DataStage 서비스에서만 사용할 수 있습니다.
Google Cloud Pub/Sub에 연결 작성
연결 자산을 작성하려면 인증 방법을 선택하십시오. 선택사항에는 워크로드 ID 연합을 사용하거나 사용하지 않는 인증이 포함됩니다.
워크로드 ID 연합 사용 안함
- 계정 키 (전체 JSON 스니펫): Google 서비스 계정 키 JSON 파일의 컨텐츠입니다.
- 클라이언트 ID, 클라이언트 시크릿, 액세스 토큰 및 새로 고침 토큰
워크로드 ID 연합 사용
인증을 위해 외부 ID 제공자 (IdP) 를 사용합니다. 외부 ID 제공자는 서비스 계정 키 대신 IAM (Identity and Access Management) 을 사용합니다. IAM은 향상된 보안 및 중앙 집중식 관리를 제공합니다. 액세스 토큰 또는 토큰 URL과 함께 워크로드 ID 연합 인증을 사용할 수 있습니다.
OIDC( OpenID Connect) 사양을 준수하고 외부 IdP 준비에 설명된 Google Cloud 요구 사항을 충족하는 모든 ID 공급업체와 워크로드 ID 페더레이션을 위한 Google BigQuery 연결을 구성할 수 있습니다. 요구사항은 다음과 같습니다.
- ID 제공자는 OpenID Connect 1.0을 지원해야 합니다.
- ID 제공자의 OIDC 메타데이터 및 JWKS 엔드포인트는 인터넷을 통해 공개적으로 액세스할 수 있어야 합니다. Google Cloud 는 이러한 엔드포인트를 사용하여 ID 제공자의 키 세트를 다운로드하고 해당 키 세트를 사용하여 토큰의 유효성을 검증합니다.
- 워크로드가 다음 기준을 충족하는 ID 토큰을 얻을 수 있도록 ID 제공자가 구성됩니다.
- 토큰은 RS256 또는 ES256 알고리즘으로 서명됩니다.
- 토큰에는 aud 청구가 포함되어 있습니다.
Amazon Web Services (AWS) 및 Microsoft Azure에 대한 워크로드 ID 연합 구성 단계의 예제는 워크로드 ID 연합 예제를 참조하십시오.
액세스 토큰 연결 세부사항이 있는 워크로드 ID 연합
액세스 토큰: BigQuery에 연결하기 위한 ID 제공자의 액세스 토큰입니다.
보안 토큰 서비스 대상: 프로젝트 ID, 풀 ID및 제공자 ID를 포함하는 보안 토큰 서비스 대상입니다. 다음 형식을 사용하십시오.
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID자세한 내용은 REST API를 사용하여 워크로드 인증하기를 참조하세요.
서비스 계정 이메일: 위장할 Google 서비스 계정의 이메일 주소입니다. 자세한 내용은 외부 워크로드에 대한 서비스 계정 만들기를 참조하세요.
서비스 계정 토큰 수명 (선택사항): 서비스 계정 액세스 토큰의 수명 (초) 입니다. 서비스 계정 액세스 토큰의 기본 수명은 1시간입니다. 자세한 내용은 URL 소스 자격 증명을 참조하세요.
토큰 형식: 토큰을 포함하는 JSON 응답의 필드 이름에 대한 토큰 필드 이름이 있는 텍스트 또는 JSON입니다.
토큰 필드 이름: 토큰을 포함하는 JSON 응답의 필드 이름입니다. 이 필드는 토큰 형식 이 JSON인 경우에만 표시됩니다.
토큰 유형: AWS 서명 버전 4요청, Google OAuth 2.0 액세스 토큰, ID 토큰, JWT (JSON Web Token) 또는 SAML 2.0.
토큰 URL 연결 세부사항이 있는 워크로드 ID 연합
보안 토큰 서비스 대상: 프로젝트 ID, 풀 ID및 제공자 ID를 포함하는 보안 토큰 서비스 대상입니다. 다음 형식을 사용하십시오.
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID자세한 내용은 REST API를 사용하여 워크로드 인증하기를 참조하세요.
서비스 계정 이메일: 위장할 Google 서비스 계정의 이메일 주소입니다. 자세한 내용은 외부 워크로드에 대한 서비스 계정 만들기를 참조하세요.
서비스 계정 토큰 수명 (선택사항): 서비스 계정 액세스 토큰의 수명 (초) 입니다. 서비스 계정 액세스 토큰의 기본 수명은 1시간입니다. 자세한 내용은 URL 소스 자격 증명을 참조하세요.
토큰 URL: 토큰을 검색할 URL입니다.
HTTP 메소드: 토큰 URL 요청에 사용할 HTTP 메소드: GET, POST 또는 PUT.
요청 본문 (POST 또는 PUT 메소드의 경우): 토큰을 검색하기 위한 HTTP 요청의 본문입니다.
HTTP 헤더: JSON 또는 JSON 본문의 토큰 URL 요청에 대한 HTTP 헤더입니다.
"Key1"="Value1","Key2"="Value2"형식을 사용하십시오.토큰 형식: 토큰을 포함하는 JSON 응답의 필드 이름에 대한 토큰 필드 이름이 있는 텍스트 또는 JSON입니다.
토큰 필드 이름: 토큰을 포함하는 JSON 응답의 필드 이름입니다. 이 필드는 토큰 형식 이 JSON인 경우에만 표시됩니다.
토큰 유형: AWS 서명 버전 4요청, Google OAuth 2.0 액세스 토큰, ID 토큰, JWT (JSON Web Token) 또는 SAML 2.0.
프로젝트 ID: (선택사항) Google 프로젝트의 ID입니다.
플랫폼에 있는 위치를 기반으로 연결을 작성하는 방법 선택
- 프로젝트에서
- 자산 > 새 자산 > 데이터 소스에 연결을 클릭하십시오. 프로젝트에 연결 추가를 참조하십시오.
- 플랫폼 자산 카탈로그에서
- 새 연결을 클릭하십시오. 플랫폼 연결 추가를 참조하십시오.
- 배치 영역에서
- 자산 가져오기 > 데이터 액세스 > 연결을 클릭하십시오. 배치 영역에 데이터 자산 추가를 참조하십시오.
이 연결의 사용처
다음 작업 공간 및 도구에서 Google Cloud Pub/Sub 연결을 사용할 수 있습니다.
프로젝트
- DataStage (DataStage 서비스). DataStage의 데이터 소스에 연결을 참조하십시오.
Catalogs
- Platform assets catalog
Google Cloud Pub/Sub 설정
자세한 정보
상위 주제: 지원되는 연결