Visão geral do fornecimento de credenciais

No Google Cloud Lakehouse, use o catálogo de tempo de execução do Lakehouse para gerenciar metadados das tabelas do catálogo REST do Lakehouse Iceberg armazenadas no Cloud Storage.

Este documento explica como receber e definir políticas do Identity and Access Management (IAM) no nível da tabela para controlar o acesso a esses recursos usando a CLI gcloud.

Como funciona o fornecimento de credenciais

Quando você usa a venda de credenciais, a sequência de processamento de consultas muda um pouco para aplicar políticas antes da leitura dos dados:

  1. Solicitação:um usuário envia uma consulta SQL a um mecanismo compatível (por exemplo, Apache Spark ou BigQuery).
  2. Pesquisa de metadados:o mecanismo envia uma solicitação ao catálogo de tempo de execução do lakehouse para resolver a tabela.
  3. Autenticação e política:o catálogo autentica o usuário e verifica as permissões do IAM nos recursos do Google Cloud Lakehouse.
  4. Resposta:como a venda de credenciais está ativada, o catálogo retorna os metadados e um token de armazenamento de curta duração (credenciais de armazenamento com escopo reduzido) para o mecanismo.
  5. Leitura:o mecanismo usa esse token para ler os arquivos autorizados específicos diretamente do Cloud Storage.
  6. Computação:o mecanismo processa os dados e retorna os resultados.

Mecanismos compatíveis

Para usar a venda de credenciais com mecanismos de consulta, o catálogo REST do Lakehouse Iceberg precisa ser configurado para oferecer suporte à venda de credenciais.

  • Mecanismos de código aberto:mecanismos compatíveis, como Apache Spark e Trino, usam tokens de armazenamento de curta duração vendidos pelo catálogo. O aplicativo cliente precisa especificar a compatibilidade com a venda de credenciais no cabeçalho X-Iceberg-Access-Delegation.
  • BigQuery:o BigQuery usa credenciais vendidas para acesso ao Cloud Storage em vez de credenciais do usuário final.

A seguir