Connessione a Google Cloud Storage

Per accedere ai tuoi dati in Google Cloud Storage, crea una risorsa di connessione per essi.

Google Cloud Storage è un servizio web di archiviazione file online per la memorizzazione e l'accesso ai dati su Google Cloud Platform Infrastructure.

Crea una connessione a Google Cloud Storage

Connettività comune

Per creare la risorsa di connessione per la connettività comune, sono necessari i seguenti dettagli di connessione:

  • ID progetto : l'ID del progetto Google.
  • Proxy server (opzionale)

Selezionare Server proxy per accedere all'origine dati Google Cloud Storage tramite un server proxy HTTPS. A seconda della sua configurazione, un server proxy può fornire bilanciamento del carico, maggiore sicurezza e privacy. Le impostazioni del server proxy sono indipendenti dalle credenziali di autenticazione e dalla selezione delle credenziali personali o condivise. Per una maggiore sicurezza è possibile fornire un certificato SSL. Le impostazioni del server proxy non possono essere memorizzate in un vault.

  • Host proxy : il nome host o l'indirizzo IP del server proxy. Ad esempio, proxy.example.com o 192.0.2.0.
  • Porta proxy : il numero di porta per connettersi al server proxy. Ad esempio, 8080 o 8443.
  • Nome utente proxy e password proxy.
  • Protocollo proxy : il protocollo del server proxy. Selezionare HTTP o HTTPS.

Credenziali

Sono disponibili metodi di autenticazione specifici in base alla distribuzione:

Connettività comune

Metodi di autenticazione per la connettività comune:

Chiave di account (frammento JSON completo)

  • Credenziali : il contenuto del file JSON della chiave dell'account del servizio Google.

ID cliente, segreto cliente, token di accesso e token di aggiornamento

  • ID cliente : l'ID cliente dell' OAuth.
  • Segreto cliente : il segreto cliente dell' OAuth.
  • Token di accesso : un token di accesso che può essere utilizzato per connettersi a Google Cloud Storage.
  • Token di aggiornamento : un token di aggiornamento da utilizzare per aggiornare l'accesso.

Con la federazione delle identità del
carico di lavoro Si utilizza un provider di identità esterno ( IdP ) per l'autenticazione. Un provider di identità esterno utilizza Identity and Access Management (IAM) invece delle chiavi dell'account di servizio. IAM offre maggiore sicurezza e gestione centralizzata. È possibile utilizzare l'autenticazione federata dell'identità del carico di lavoro con un token di accesso o con un token URL.

È possibile configurare una connessione Google BigQuery per la federazione delle identità dei carichi di lavoro con qualsiasi provider di identità conforme alla specifica OpenID Connect (OIDC) e che soddisfi i requisiti Google Cloud descritti in Preparare il proprio IdP esterno. I requisiti includono:

  • Il provider di identità deve supportare OpenID Connect 1.0.
  • I metadati OIDC e gli endpoint JWKS del provider di identità devono essere accessibili pubblicamente su Internet. Google Cloud utilizza questi endpoint per scaricare il set di chiavi del tuo provider di identità e utilizza tale set di chiavi per convalidare i token.
  • Il provider di identità è configurato in modo tale che il carico di lavoro possa ottenere token ID che soddisfano i seguenti criteri:
    • I token sono firmati con l'algoritmo RS256 o ES256.
    • I token contengono una richiesta aud.

Per esempi delle procedure di configurazione della federazione delle identità di carico di lavoro per Amazon Web Services ( AWS ) e Microsoft Azure, vedere Esempi di federazione delle identità di carico di lavoro.

Federazione dell'identità del carico di lavoro con token di accesso

  • Token di accesso : un token di accesso fornito dal provider di identità per connettersi a BigQuery.

  • Destinatari del servizio token di sicurezza : i destinatari del servizio token di sicurezza che contengono l'ID del progetto, l'ID del pool e l'ID del provider. Utilizzare questo formato:

    //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

    Per ulteriori informazioni, vedere Autenticare un carico di lavoro utilizzando l'API REST.

  • Indirizzo e-mail dell'account di servizio : l'indirizzo e-mail dell'account di servizio Google da impersonare. Per ulteriori informazioni, vedere Creare un account di servizio per il carico di lavoro esterno.

  • Durata del token dell'account di servizio (facoltativo): la durata in secondi del token di accesso dell'account di servizio. La durata predefinita di un token di accesso dell'account di servizio è di un'ora. Per ulteriori informazioni, consultare URL -sourced credentials.

  • Formato token : testo o JSON con il nome del campo Token per il nome del campo nella risposta JSON che contiene il token.

  • Nome campo token : il nome del campo nella risposta JSON che contiene il token. Questo campo appare solo quando il formato del token è JSON.

  • Tipo di token : AWS Richiesta Signature Version 4, Google OAuth 2.0 token di accesso, token ID, JSON Web Token (JWT) o SAML 2.0.

Federazione dell'identità del carico di lavoro con URL token

  • Destinatari del servizio token di sicurezza : i destinatari del servizio token di sicurezza che contengono l'ID del progetto, l'ID del pool e l'ID del provider. Utilizzare questo formato:

    //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

    Per ulteriori informazioni, consulta Autenticare un carico di lavoro utilizzando l'API REST.

  • Indirizzo e-mail dell'account di servizio : l'indirizzo e-mail dell'account di servizio Google da impersonare. Per ulteriori informazioni, vedere Creare un account di servizio per il carico di lavoro esterno.

  • Durata del token dell'account di servizio (facoltativo): la durata in secondi del token di accesso dell'account di servizio. La durata predefinita di un token di accesso dell'account di servizio è di un'ora. Per ulteriori informazioni, consultare URL -sourced credentials.

  • URL del token : l' URL e per recuperare un token.

  • HTTP metodo : HTTP metodo da utilizzare per il token URL richiesta: GET, POST o PUT.

  • Corpo della richiesta (per i metodi POST o PUT): il corpo della richiesta HTTP per recuperare un token.

  • HTTP intestazioni : HTTP intestazioni per il token URL richiesta in JSON o come corpo JSON. Formato da utilizzare: "Key1"="Value1","Key2"="Value2".

  • Formato token : testo o JSON con il nome del campo Token per il nome del campo nella risposta JSON che contiene il token.

  • Nome campo token : il nome del campo nella risposta JSON che contiene il token. Questo campo appare solo quando il formato del token è JSON.

  • Tipo di token : AWS Richiesta Signature Version 4, Google OAuth 2.0 token di accesso, token ID, JSON Web Token (JWT) o SAML 2.0.

Per le credenziali, è possibile utilizzare i segreti se è configurato un vault per la piattaforma e il servizio supporta i vault. Per ulteriori informazioni, consultare Utilizzo dei segreti dai vault nelle connessioni.

Conformità agli standard federali di elaborazione delle informazioni (FIPS)

Questa connessione è conforme allo standard FIPS e può essere utilizzata su un cluster abilitato per FIPS.

Tipi di file supportati

La connessione Google Cloud Storage supporta i seguenti tipi di file: Avro, CSV, testo delimitato, Excel, JSON, ORC, Parquet, SAS, SAV, SHP e XML.

Formati di tabella

La connessione Google Cloud Storage supporta i seguenti formati di tabella Data Lake: Delta Lake e Iceberg.

Ulteriori informazioni