Melakukan autentikasi ke Dataform

Dokumen ini menjelaskan cara melakukan autentikasi ke Dataform secara terprogram. Cara Anda melakukan autentikasi ke Dataform bergantung pada antarmuka yang Anda gunakan untuk mengakses API dan lingkungan tempat kode Anda dijalankan.

Untuk mengetahui informasi selengkapnya tentang autentikasi Google Cloud , lihat Metode autentikasi.

Akses API

Dataform mendukung akses terprogram. Anda dapat mengakses API dengan cara berikut:

• Library klien
• REST

Library klien

Library klien Dataform menyediakan dukungan bahasa tingkat tinggi untuk melakukan autentikasi ke Dataform secara terprogram. Untuk melakukan autentikasi panggilan ke API Google Cloud , library klien mendukung Kredensial Default Aplikasi (ADC). Library ini mencari kredensial dalam kumpulan lokasi yang ditentukan dan menggunakan kredensial tersebut untuk melakukan autentikasi permintaan ke API. Dengan ADC, Anda dapat menyediakan kredensial untuk aplikasi di berbagai lingkungan, seperti produksi atau pengembangan lokal, tanpa perlu mengubah kode aplikasi.

REST

Anda dapat melakukan autentikasi ke Dataform API menggunakan kredensial gcloud CLI atau menggunakan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya tentang autentikasi permintaan REST, baca bagian Melakukan autentikasi untuk menggunakan REST. Untuk mengetahui informasi tentang jenis kredensial, baca bagian kredensial gcloud CLI dan kredensial ADC.

Menyiapkan autentikasi untuk Dataform

Cara menyiapkan autentikasi bergantung pada lingkungan tempat kode Anda dijalankan.

Opsi penyiapan autentikasi berikut adalah yang paling umum digunakan. Untuk mengetahui opsi lainnya dan informasi tentang autentikasi, lihat Metode autentikasi.

Untuk lingkungan pengembangan lokal

Anda dapat menyiapkan kredensial untuk lingkungan pengembangan lokal dengan cara berikut:

• Kredensial pengguna untuk library klien atau alat pihak ketiga
• Kredensial pengguna untuk permintaan REST dari command line
• Peniruan akun layanan

Library klien atau alat pihak ketiga

Siapkan Kredensial Default Aplikasi (ADC) di lingkungan lokal Anda:

1. Install the Google Cloud CLI. After installation, initialize the Google Cloud CLI by running the following command:

   gcloud init

   If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

2. If you're using a local shell, then create local authentication credentials for your user account:

   gcloud auth application-default login

   You don't need to do this if you're using Cloud Shell.

   If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

   Layar login akan muncul. Setelah Anda login, kredensial Anda akan disimpan dalam file kredensial lokal yang digunakan oleh ADC.

Untuk informasi selengkapnya tentang cara menggunakan ADC di lingkungan lokal, lihat Menyiapkan ADC untuk lingkungan pengembangan lokal.

Permintaan REST dari command line

Saat membuat permintaan REST dari command line, Anda dapat menggunakan kredensial gcloud CLI dengan menyertakan gcloud auth print-access-token sebagai bagian dari perintah yang mengirimkan permintaan itu.

Contoh berikut mencantumkan akun layanan untuk project yang ditentukan. Anda dapat menggunakan pola yang sama untuk setiap permintaan REST.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

• PROJECT_ID: Project ID Google Cloud Anda.

Untuk mengirim permintaan Anda, luaskan salah satu opsi berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts" | Select-Object -Expand Content

Untuk mengetahui informasi selengkapnya tentang melakukan autentikasi menggunakan REST dan gRPC, lihat Melakukan autentikasi untuk menggunakan REST. Untuk mengetahui informasi tentang perbedaan antara kredensial ADC lokal dan kredensial gcloud CLI, lihat Konfigurasi autentikasi gcloud CLI dan konfigurasi ADC.

Peniruan akun layanan

Pada umumnya, Anda dapat menggunakan kredensial pengguna untuk melakukan autentikasi dari lingkungan pengembangan lokal. Jika hal tersebut tidak memungkinkan, atau jika Anda perlu menguji izin yang ditetapkan ke akun layanan, Anda dapat menggunakan peniruan akun layanan. Anda harus memiliki izin iam.serviceAccounts.getAccessToken, yang disertakan dalam peran IAM Service Account Token Creator (roles/iam.serviceAccountTokenCreator).

Anda dapat menyiapkan gcloud CLI agar menggunakan peniruan akun layanan dengan perintah gcloud config set:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Untuk bahasa pemrograman tertentu, Anda dapat menggunakan peniruan akun layanan guna membuat file ADC lokal yang akan digunakan library klien. Pendekatan ini hanya didukung untuk library klien Go, Java, Node.js, dan Python—tidak didukung untuk bahasa pemrograman lain. Untuk menyiapkan file ADC lokal dengan peniruan akun layanan, gunakan flag --impersonate-service-account dengan perintah gcloud auth application-default login:

gcloud auth application-default login --impersonate-service-account=SERVICE_ACCT_EMAIL

Untuk mengetahui informasi selengkapnya tentang peniruan akun layanan, lihat Menggunakan peniruan akun layanan.

Kontrol akses untuk Dataform

Setelah melakukan autentikasi ke Dataform, Anda harus diberi otorisasi untuk mengakses resource Google Cloud . Dataform menggunakan Identity and Access Management (IAM) untuk otorisasi.

Untuk mengetahui informasi selengkapnya tentang peran Dataform, lihat Kontrol akses dengan IAM. Untuk mengetahui informasi selengkapnya tentang IAM dan otorisasi, lihat Ringkasan IAM.

Langkah berikutnya

• Pelajari Google Cloud metode autentikasi.
• Lihat daftar kasus penggunaan autentikasi.