Dalam Google Cloud Lakehouse, Anda menggunakan katalog runtime Lakehouse untuk mengelola metadata tabel katalog REST Iceberg Lakehouse yang disimpan di Cloud Storage.
Dokumen ini menjelaskan cara mendapatkan dan menetapkan kebijakan Identity and Access Management (IAM) di tingkat tabel untuk mengontrol akses ke resource ini menggunakan CLI gcloud.
Cara kerja penyediaan kredensial
Saat Anda menggunakan credential vending, urutan pemrosesan kueri akan sedikit berubah untuk menerapkan kebijakan sebelum data dibaca:
- Permintaan: Pengguna mengirimkan kueri SQL ke mesin yang didukung (misalnya, Apache Spark atau BigQuery).
- Pencarian metadata: Mesin mengirim permintaan ke katalog runtime Lakehouse untuk menyelesaikan tabel.
- Autentikasi dan kebijakan: Katalog mengautentikasi pengguna dan memeriksa izin IAM mereka pada resource Google Cloud Lakehouse.
- Respons: Karena penjualan kredensial diaktifkan, katalog menampilkan metadata dan token penyimpanan berumur pendek (kredensial penyimpanan yang diperkecil cakupannya) ke mesin.
- Baca: Mesin menggunakan token ini untuk membaca file resmi tertentu langsung dari Cloud Storage.
- Compute: Mesin memproses data dan menampilkan hasilnya.
Mesin yang didukung
Untuk menggunakan penyediaan kredensial dengan mesin kueri, katalog REST Iceberg Lakehouse Anda harus dikonfigurasi untuk mendukung penyediaan kredensial.
- Mesin open source: Mesin yang didukung seperti Apache Spark dan Trino menggunakan token penyimpanan berumur pendek yang disediakan oleh katalog. Aplikasi
klien Anda harus menentukan dukungan untuk penyediaan kredensial di
header
X-Iceberg-Access-Delegation. - BigQuery: BigQuery menggunakan kredensial yang disediakan untuk akses Cloud Storage, bukan kredensial pengguna akhir.
Langkah berikutnya
- Pelajari cara membuat katalog dalam mode penjualan kredensial.
- Pelajari cara mengaktifkan penyediaan kredensial untuk katalog yang ada menggunakan Google Cloud konsol.
- Pelajari cara mengonfigurasi aplikasi klien untuk penyediaan kredensial.