Dans Google Cloud Lakehouse, vous utilisez le catalogue d'exécution Lakehouse pour gérer les métadonnées de vos tables Lakehouse Iceberg REST catalog stockées dans Cloud Storage.
Ce document explique comment obtenir et définir des stratégies IAM (Identity and Access Management) au niveau de la table pour contrôler l'accès à ces ressources à l'aide de l'CLI gcloud.
Fonctionnement de la distribution d'identifiants
Lorsque vous utilisez la distribution d'identifiants, la séquence de traitement des requêtes est légèrement modifiée pour appliquer les stratégies avant la lecture des données :
- Requête : un utilisateur envoie une requête SQL à un moteur compatible (par exemple, Apache Spark ou BigQuery).
- Recherche de métadonnées : le moteur envoie une requête au catalogue d'exécution Lakehouse pour résoudre la table.
- Authentification et stratégie : le catalogue authentifie l'utilisateur et vérifie ses autorisations IAM sur les ressources Google Cloud Lakehouse.
- Réponse : comme la distribution d'identifiants est activée, le catalogue renvoie les métadonnées et un jeton de stockage à courte durée de vie (identifiants de stockage limités) au moteur.
- Lecture : le moteur utilise ce jeton pour lire les fichiers autorisés spécifiques directement à partir de Cloud Storage.
- Calcul : le moteur traite les données et renvoie les résultats.
Moteurs compatibles
Pour utiliser la distribution d'identifiants avec des moteurs de requête, votre catalogue Lakehouse Iceberg REST doit être configuré pour la prendre en charge.
- Moteurs Open Source : les moteurs compatibles tels qu'Apache Spark et Trino utilisent des jetons de stockage à courte durée de vie distribués par le catalogue. Votre application cliente doit spécifier la prise en charge de la distribution d'identifiants dans l'en-tête
X-Iceberg-Access-Delegation. - BigQuery : BigQuery utilise des identifiants distribués pour accéder à Cloud Storage au lieu d'identifiants d'utilisateur final.
Étape suivante
- Découvrez comment créer un catalogue en mode de distribution d'identifiants.
- Découvrez comment activer la distribution d'identifiants pour un catalogue existant à l'aide de la Google Cloud console.
- Découvrez comment configurer votre application cliente pour la distribution d'identifiants vending.