Mengaktifkan mode penyediaan kredensial untuk katalog yang ada di Google Cloud console mengonfigurasi Lakehouse untuk Apache Iceberg untuk menyediakan token penyimpanan berumur pendek dan terbatas cakupannya ke mesin kueri yang diotorisasi.
Dalam katalog runtime Lakehouse, metode autentikasi ini menghilangkan kebutuhan pengguna untuk memiliki izin baca dan tulis langsung di bucket Cloud Storage yang mendasarinya.
Sebelum memulai
-
Pastikan penagihan diaktifkan untuk Google Cloud project Anda.
-
Aktifkan BigLake API.
Peran yang diperlukan untuk mengaktifkan API
Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (
roles/serviceusage.serviceUsageAdmin), yang berisi izinserviceusage.services.enable. Pelajari cara memberikan peran.
Peran yang diperlukan
Untuk mendapatkan izin yang Anda perlukan untuk mengaktifkan penyediaan kredensial di Google Cloud console, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda:
- Admin BigLake (
roles/biglake.admin) - Storage Admin (
roles/storage.admin)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Mengaktifkan penyediaan kredensial
Jika metode autentikasi untuk katalog Anda ditetapkan ke kredensial pengguna akhir, Anda dapat mengalihkannya ke mode penyediaan kredensial.
Di Google Cloud console, buka halaman Lakehouse.
Di baris katalog yang Anda perbarui, klik Tindakan katalog lainnya > Edit autentikasi.
Dalam dialog autentikasi, pilih Mode penyediaan kredensial.
Klik Simpan.
Katalog Anda diperbarui dan halaman Detail katalog akan terbuka.
Di bagian Metode autentikasi, klik Tetapkan izin bucket.
Dalam dialog, klik Konfirmasi.
Tindakan ini akan memverifikasi bahwa akun layanan katalog Anda memiliki peran Pengguna Objek Penyimpanan di bucket penyimpanan Anda.