Bereitstellung von Anmeldedaten – Übersicht

In Google Cloud Lakehouse verwalten Sie mit dem Lakehouse-Laufzeitkatalog Metadaten für Ihre Lakehouse Iceberg REST-Katalogtabellen, die in Cloud Storage gespeichert sind.

In diesem Dokument wird erläutert, wie Sie mit der gcloud-CLI IAM-Richtlinien (Identity and Access Management) auf Tabellenebene abrufen und festlegen, um den Zugriff auf diese Ressourcen zu steuern.

Funktionsweise der Anmeldedatenbereitstellung

Wenn Sie die Anmeldedatenbereitstellung verwenden, ändert sich die Abfrageverarbeitungssequenz geringfügig, um Richtlinien zu erzwingen, bevor Daten gelesen werden:

  1. Anfrage:Ein Nutzer sendet eine SQL-Abfrage an eine unterstützte Engine (z. B. Apache Spark oder BigQuery).
  2. Metadatensuche:Die Engine sendet eine Anfrage an den Lakehouse-Laufzeitkatalog, um die Tabelle aufzulösen.
  3. Authentifizierung und Richtlinie:Der Katalog authentifiziert den Nutzer und prüft seine IAM-Berechtigungen für die Google Cloud Lakehouse-Ressourcen.
  4. Antwort:Da die Anmeldedatenbereitstellung aktiviert ist, gibt der Katalog die Metadaten und ein kurzlebiges Speichertoken (eingeschränkte Speicheranmeldedaten) an die Engine zurück.
  5. Lesen:Die Engine verwendet dieses Token, um die spezifischen autorisierten Dateien direkt aus Cloud Storage zu lesen.
  6. Berechnung:Die Engine verarbeitet die Daten und gibt die Ergebnisse zurück.

Unterstützte Engines

Damit Sie die Anmeldedatenbereitstellung mit Abfrage-Engines verwenden können, muss Ihr Lakehouse Iceberg REST-Katalog für die Anmeldedatenbereitstellung konfiguriert sein.

  • Open-Source-Engines:Unterstützte Engines wie Apache Spark und Trino verwenden kurzlebige Speichertokens, die vom Katalog bereitgestellt werden. Ihre Clientanwendung muss die Unterstützung für die Anmeldedatenbereitstellung im Header X-Iceberg-Access-Delegation angeben.
  • BigQuery:BigQuery verwendet für den Cloud Storage-Zugriff bereitgestellte Anmeldedaten anstelle von Endnutzeranmeldedaten.

Nächste Schritte