背景
Workforce Identity 連携を使用すると、外部 ID プロバイダ(IdP)を使用して、従業員、パートナー、請負業者の認証と認可を行い、 Google Cloud サービスへのアクセスを許可できます。
Workforce Identity 連携がプロジェクトで構成されている場合、外部 ID ユーザーは、 Google Cloud コンソール、Google Cloud CLI、Managed Service for Apache Spark API を使用して、以下を除くほとんどの Managed Service for Apache Spark リソースと機能にアクセスできます。
- GKE 上の Managed Service for Apache Spark
- Managed Service for Apache Spark の個人認証
- Managed Service for Apache Spark サービス アカウント ベースの安全なマルチテナンシー
- Google Cloud コンソールの Batch と Jobs の詳細ページの [出力] セクションと、クラスタと Jobs のリストページの [推奨アラート] セクション。
Managed Service for Apache Spark コンポーネント ゲートウェイで Workforce Identify 連携を使用する
Workforce Identity 連携を構成するガイドに沿って、Workforce Identity 連携を構成します。
外部 ID ユーザーに
dataproc.clusters.useロールを付与して、Managed Service for Apache Spark コンポーネント ゲートウェイへのアクセスを許可します(プリンシパルに IAM ロールを付与するをご覧ください)。- IAM ポリシーで外部 ID を表す方法については、IAM ポリシーで Workforce プールユーザーを表すをご覧ください。
コンポーネント ゲートウェイを有効にして Managed Service for Apache Spark クラスタを作成します。
クラスタのウェブ インターフェースにアクセスする
コンポーネント ゲートウェイの URL を表示してアクセスするをご覧ください。外部 ID ユーザーについて次の相違点にご注意ください。
外部 ID で認証されたユーザーのみが、外部 ID の URL にアクセスできます。ユーザーがログインしていないときに外部 ID の URL にアクセスすると、Workforce プール プロバイダ名を指定する認証ポータルにリダイレクトされます。次に、ログインするために ID プロバイダにリダイレクトされます。その後、コンポーネントのウェブ インターフェースにリダイレクトされます。
外部 ID の URL の形式は次のとおりです。
https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
次のステップ
- Managed Service for Apache Spark コンポーネントを使用してクラスタを作成します。