Conexão do Google Cloud Pub/Sub
Para acessar seus dados no Google Cloud Pub/Sub, crie um recurso de conexão para ele.
Google Cloud Pub/Sub é usado para análise de streaming e fluxos de integração de dados para ingestão e distribuição de dados.
Criar uma conexão com o Google Cloud Pub/Sub
Para criar o recurso de conexão, você precisa dos seguintes detalhes de conexão:
- ID do projeto : O ID do Google projeto.
Credenciais
Você tem métodos de autenticação específicos com base na sua implantação:
Conectividade comum
Escolha um método de autenticação e preencha os detalhes específicos necessários para cada método:
Chave de conta (snippet JSON completo)
- Credenciais : O conteúdo do arquivo de chave Google da conta de serviço (JSON).
ID do cliente, Segredo do cliente, Token de acesso e Token de atualização
- Token de acesso : Um token de acesso que pode ser usado para se conectar ao Google Cloud Pub/Sub.
- ID do cliente : A ID do cliente OAuth.
- Segredo do cliente : O segredo do cliente OAuth.
- Token de atualização : um token de atualização a ser usado para atualizar o token de acesso.
Federação de identidades de carga de trabalho com conexão por token de acesso
Público do serviço de token de segurança : o público do serviço de token de segurança que contém o ID do projeto, o ID do pool e o ID do provedor. Use este formato:
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_IDPara obter mais informações, consulte Autenticar uma carga de trabalho usando a API REST.
E-mail da conta de serviço : o endereço de e-mail da conta Google de serviço a ser representada. Para obter mais informações, consulte Criar uma conta de serviço para a carga de trabalho externa.
Vida útil do token da conta de serviço (opcional): a vida útil em segundos do token de acesso da conta de serviço. A duração padrão de um token de acesso de conta de serviço é de uma hora. Para obter mais informações, consulte URL credenciais de origem.
Formato do token : Texto ou JSON com o nome do campo Token para o nome do campo na resposta JSON que contém o token.
Nome do campo do token : O nome do campo na resposta JSON que contém o token. Este campo aparece apenas quando o formato do token é JSON.
Tipo de token : AWS Solicitação de assinatura versão 4, Google OAuth 2.0 token de acesso, token de identificação, JSON Web Token (JWT) ou SAML 2.0.
Token de acesso : um token de acesso do provedor de identidade para se conectar ao Google Cloud Pub/Sub.
Federação de identidade de carga de trabalho com detalhes de conexão URL por token
Público do serviço de token de segurança : o público do serviço de token de segurança que contém o ID do projeto, o ID do pool e o ID do provedor. Use este formato:
//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_IDPara obter mais informações, consulte Autenticar uma carga de trabalho usando a API REST.
E-mail da conta de serviço : o endereço de e-mail da conta Google de serviço a ser representada. Para obter mais informações, consulte Criar uma conta de serviço para a carga de trabalho externa.
Vida útil do token da conta de serviço (opcional): a vida útil em segundos do token de acesso da conta de serviço. A duração padrão de um token de acesso de conta de serviço é de uma hora. Para obter mais informações, consulte URL credenciais de origem.
Token URL : O token URL para recuperar um token.
HTTP método : HTTP método a ser usado para o token URL solicitação: GET, POST ou PUT.
Corpo da solicitação (para métodos POST ou PUT): O corpo da HTTP solicitação para recuperar um token.
HTTP cabeçalhos : HTTP cabeçalhos para a solicitação URL de token em JSON ou como um corpo JSON. Formato de uso:
"Key1"="Value1","Key2"="Value2".Formato do token : Texto ou JSON com o nome do campo Token para o nome do campo na resposta JSON que contém o token.
Nome do campo do token : O nome do campo na resposta JSON que contém o token. Este campo aparece apenas quando o formato do token é JSON.
Tipo de token : AWS Solicitação de assinatura versão 4, Google OAuth 2.0 token de acesso, token de identificação, JSON Web Token (JWT) ou SAML 2.0.
Com a federação de identidades de carga
de trabalho, você usa um provedor de identidade externo ( IdP ) para autenticação. Um provedor de identidade externo usa Gerenciamento de Identidade e Acesso (IAM) em vez de chaves de conta de serviço. O IAM oferece maior segurança e gerenciamento centralizado. Você pode usar a autenticação de federação de identidade de carga de trabalho com um token de acesso ou com um token URL.
Você pode configurar uma Google BigQuery conexão para federação de identidade de carga de trabalho com qualquer provedor de identidade que esteja em conformidade com a especificação OpenID Connect (OIDC) e que satisfaça os Google Cloud requisitos descritos em Prepare seu externo IdP. Os requisitos incluem:
- O provedor de identidade deve oferecer suporte OpenID ao Connect 1.0.
- Os metadados OIDC e os pontos finais JWKS do provedor de identidade devem estar acessíveis publicamente pela Internet. Google Cloud usa esses pontos finais para baixar o conjunto de chaves do seu provedor de identidade e usa esse conjunto de chaves para validar tokens.
- O provedor de identidade está configurado para que sua carga de trabalho possa obter tokens de identidade que atendam a estes critérios:
- Os tokens são assinados com o RS256 algoritmo ES256 ou.
- Os tokens contêm uma reivindicação aud.
Para exemplos das etapas de configuração da federação de identidades de carga de trabalho para Amazon Web Services ( AWS ) e Microsoft Azure, consulte Exemplos de federação de identidades de carga de trabalho.
Para credenciais, você pode usar segredos se um cofre estiver configurado para a plataforma e o serviço oferecer suporte a cofres. Para obter informações, consulte Usando segredos de cofres em conexões.
Conformidade com as Normas Federais de Processamento de Informações (FIPS)
Essa conexão está em conformidade com a norma FIPS e pode ser usada em um cluster compatível com FIPS.