Panoramica della distribuzione delle credenziali

In Google Cloud Lakehouse, utilizzi il catalogo di runtime Lakehouse per gestire i metadati delle tabelle del catalogo REST Lakehouse Iceberg archiviate in Cloud Storage.

Questo documento spiega come ottenere e impostare le policy Identity and Access Management (IAM) a livello di tabella per controllare l'accesso a queste risorse utilizzando l'interfaccia a riga di comando gcloud.

Come funziona la distribuzione delle credenziali

Quando utilizzi la distribuzione delle credenziali, la sequenza di elaborazione delle query cambia leggermente per applicare le policy prima della lettura dei dati:

  1. Richiesta: un utente invia una query SQL a un motore supportato (ad esempio Apache Spark o BigQuery).
  2. Ricerca dei metadati: il motore invia una richiesta al catalogo di runtime Lakehouse per risolvere la tabella.
  3. Autenticazione e policy: il catalogo autentica l'utente e controlla le relative autorizzazioni IAM sulle risorse Google Cloud Lakehouse.
  4. Risposta: poiché la distribuzione delle credenziali è abilitata, il catalogo restituisce i metadati e un token di archiviazione di breve durata (credenziali di archiviazione con ambito limitato) al motore.
  5. Lettura: il motore utilizza questo token per leggere i file autorizzati specifici direttamente da Cloud Storage.
  6. Calcolo: il motore elabora i dati e restituisce i risultati.

Motori supportati

Per utilizzare la distribuzione delle credenziali con i motori di query, il catalogo REST Lakehouse Iceberg deve essere configurato per supportare la distribuzione delle credenziali.

  • Motori open source: i motori supportati come Apache Spark e Trino utilizzano token di archiviazione di breve durata distribuiti dal catalogo. L'applicazione client deve specificare il supporto per la distribuzione delle credenziali nell'intestazione X-Iceberg-Access-Delegation.
  • BigQuery: BigQuery utilizza le credenziali distribuite per l'accesso a Cloud Storage anziché le credenziali dell'utente finale.

Passaggi successivi