Visão geral do fornecimento de credenciais

A venda de credenciais é um mecanismo de delegação de acesso ao armazenamento que permite controlar permissões diretamente nos recursos do metastore do BigLake. Isso elimina a necessidade de os usuários do catálogo terem acesso direto aos buckets do Cloud Storage em que os dados da tabela do Apache Iceberg estão armazenados.

Com a venda de credenciais, é possível conceder aos usuários permissões refinadas em arquivos de dados específicos, em vez de conceder acesso amplo no nível do bucket. Isso melhora a segurança e se alinha ao princípio de privilégio mínimo.

Como funciona o fornecimento de credenciais

Quando você usa a venda de credenciais, a sequência de processamento de consultas muda um pouco para aplicar políticas antes da leitura dos dados:

  1. Solicitação:um usuário envia uma consulta SQL a um mecanismo compatível (por exemplo, Apache Spark).
  2. Pesquisa de metadados:o mecanismo envia uma solicitação ao metastore do BigLake para resolver a tabela.
  3. Autenticação e política:o metastore autentica o usuário e verifica as permissões do Identity and Access Management (IAM) nos recursos do BigLake.
  4. Resposta:como a venda de credenciais está ativada, o metastore retorna os metadados e um token de armazenamento de curta duração (credenciais de armazenamento com escopo reduzido) para o mecanismo.
  5. Leitura:o mecanismo usa esse token para ler os arquivos autorizados específicos diretamente do Cloud Storage.
  6. Computação:o mecanismo processa os dados e retorna os resultados.

Catálogos compatíveis

A venda de credenciais é compatível quando você usa o catálogo REST do Iceberg no metastore do BigLake. Ao configurar um catálogo no modo de venda de credenciais, o aplicativo cliente precisa ser configurado para solicitar as credenciais com escopo reduzido especificando a delegação de acesso.

O catálogo personalizado do Iceberg para BigQuery não oferece suporte à venda de credenciais.

A seguir