Google Cloud コンソールで既存のカタログの認証情報ベンディング モードを有効にすると、Lakehouse for Apache Iceberg が、有効期間が短くスコープが絞り込まれたストレージ トークンを承認済みのクエリエンジンに提供するように構成されます。
Lakehouse ランタイム カタログでは、この認証方法により、ユーザーが基盤となる Cloud Storage バケットに対する直接的な読み取り / 書き込み権限を保持する必要がなくなります。
始める前に
-
BigLake API を有効にします。
API を有効にするために必要なロール
API を有効にするには、
serviceusage.services.enable権限を含む Service Usage 管理者 IAM ロール(roles/serviceusage.serviceUsageAdmin)が必要です。詳しくは、ロールを付与する方法をご覧ください。
必要なロール
Google Cloud コンソールで認証情報のベンダーを有効にするために必要な権限を取得するには、プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。
- BigLake 管理者 (
roles/biglake.admin) - ストレージ管理者 (
roles/storage.admin)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
認証情報のベンディングを有効にする
カタログの認証方法がエンドユーザー認証情報に設定されている場合は、認証情報ベンディング モードに切り替えることができます。
Google Cloud コンソールで、[Lakehouse] ページを開きます。
更新するカタログの行で、 [その他のカタログ操作] > [認証を編集] をクリックします。
認証ダイアログで、[認証情報ベンディング モード] を選択します。
[保存] をクリックします。
カタログが更新され、[カタログの詳細] ページが開きます。
[認証方法] で、[バケットの権限を設定] をクリックします。
ダイアログで [確認] をクリックします。
これにより、カタログのサービス アカウントにストレージ バケットに対するストレージ オブジェクト ユーザー ロールがあることが確認されます。