Google Cloud Lakehouse 내에서 Lakehouse 런타임 카탈로그를 사용하여 Cloud Storage에 저장된 Lakehouse Iceberg REST 카탈로그 테이블의 메타데이터를 관리합니다.
이 문서에서는 gcloud CLI를 사용하여 이러한 리소스에 대한 액세스를 제어하기 위해 테이블 수준에서 Identity and Access Management (IAM) 정책을 가져오고 설정하는 방법을 설명합니다.
사용자 인증 정보 벤더 제공 작동 방식
인증 정보 제공을 사용하면 데이터가 읽히기 전에 정책을 적용하기 위해 쿼리 처리 시퀀스가 약간 변경됩니다.
- 요청: 사용자가 지원되는 엔진 (예: Apache Spark 또는 BigQuery)에 SQL 쿼리를 제출합니다.
- 메타데이터 조회: 엔진이 테이블을 확인하기 위해 레이크하우스 런타임 카탈로그에 요청을 전송합니다.
- 인증 및 정책: 카탈로그는 사용자를 인증하고 Google Cloud Lakehouse 리소스에 대한 IAM 권한을 확인합니다.
- 응답: 사용자 인증 정보 판매가 사용 설정되어 있으므로 카탈로그는 메타데이터와 단기 스토리지 토큰 (범위가 축소된 스토리지 사용자 인증 정보)을 엔진에 반환합니다.
- 읽기: 엔진은 이 토큰을 사용하여 Cloud Storage에서 승인된 특정 파일을 직접 읽습니다.
- 컴퓨팅: 엔진이 데이터를 처리하고 결과를 반환합니다.
지원되는 엔진
쿼리 엔진에서 사용자 인증 정보 판매를 사용하려면 Lakehouse Iceberg REST 카탈로그가 사용자 인증 정보 판매를 지원하도록 구성되어야 합니다.
- 오픈소스 엔진: Apache Spark, Trino와 같은 지원되는 엔진은 카탈로그에서 제공하는 단기 스토리지 토큰을 사용합니다. 클라이언트 애플리케이션은
X-Iceberg-Access-Delegation헤더에서 사용자 인증 정보 판매 지원을 지정해야 합니다. - BigQuery: BigQuery는 최종 사용자 사용자 인증 정보 대신 Cloud Storage 액세스를 위해 제공된 사용자 인증 정보를 사용합니다.
다음 단계
- 사용자 인증 정보 판매 모드에서 카탈로그를 만드는 방법을 알아봅니다.
- Google Cloud 콘솔을 사용하여 기존 카탈로그의 사용자 인증 정보 판매를 사용 설정하는 방법을 알아봅니다.
- 사용자 인증 정보 판매를 위해 클라이언트 애플리케이션을 구성하는 방법을 알아보세요.