Descripción general de la venta de credenciales

En Google Cloud Lakehouse, usas el catálogo de entornos de ejecución de Lakehouse para administrar los metadatos de tus tablas del catálogo de Lakehouse Iceberg REST almacenadas en Cloud Storage.

En este documento, se explica cómo obtener y configurar políticas de Identity and Access Management (IAM) a nivel de la tabla para controlar el acceso a estos recursos con la CLI de gcloud.

Cómo funciona la venta de credenciales

Cuando usas la venta de credenciales, la secuencia de procesamiento de consultas cambia ligeramente para aplicar las políticas antes de que se lean los datos:

  1. Solicitud: Un usuario envía una consulta en SQL a un motor compatible (por ejemplo, Apache Spark o BigQuery).
  2. Búsqueda de metadatos: El motor envía una solicitud al catálogo de entornos de ejecución de Lakehouse para resolver la tabla.
  3. Autenticación y política: El catálogo autentica al usuario y verifica sus permisos de IAM en los recursos de Google Cloud Lakehouse.
  4. Respuesta: Debido a que la venta de credenciales está habilitada, el catálogo muestra los metadatos y un token de almacenamiento de corta duración (credenciales de almacenamiento con alcance reducido) al motor.
  5. Lectura: El motor usa este token para leer los archivos autorizados específicos directamente desde Cloud Storage.
  6. Cálculo: El motor procesa los datos y muestra los resultados.

Motores compatibles

Para usar la venta de credenciales con motores de consultas, tu catálogo de Lakehouse Iceberg REST debe estar configurado para admitir la venta de credenciales.

  • Motores de código abierto: Los motores compatibles, como Apache Spark y Trino, usan tokens de almacenamiento de corta duración que vende el catálogo. Tu aplicación cliente debe especificar la compatibilidad con la venta de credenciales en el encabezado X-Iceberg-Access-Delegation.
  • BigQuery: BigQuery usa credenciales vendidas para el acceso a Cloud Storage en lugar de credenciales de usuario final.

¿Qué sigue?