Directrices de seguridad del conector de destino de BigQuery - Teradata QueryGrid

QueryGrid™ Guía de instalación y uso- 3.06

Deployment
VantageCloud
VantageCore
Edition
Enterprise
IntelliFlex
Lake
VMware
Product
Teradata QueryGrid
Release Number
3.06
Published
Diciembre de 2024
ft:locale
es-ES
ft:lastEdition
2024-12-18
dita:mapPath
es-ES/ndp1726122159943.ditamap
dita:ditavalPath
ft:empty
dita:id
lxg1591800469257
Product Category
Analytical Ecosystem
Use uno de los siguientes mecanismos de autenticación para acceder a un origen de datos de BigQuery:
  • Cuenta de servicio
  • Valor predeterminado de la aplicación
  • Token de actualización (OAuth)
Cada mecanismo de autenticación toma las credenciales de entrada en un formato diferente, como se describe.

Cuenta de servicio

El método de cuenta de servicio es adecuado cuando todos los tipos de acceso a BigQuery a través de QueryGrid se pueden realizar con la misma identidad de Google Cloud. Las credenciales del mecanismo de la cuenta de servicio se proporcionan de una de las dos formas siguientes:
Ambas opciones son mutuamente excluyentes y, si se proporcionan ambas al mismo tiempo, dará como resultado un error.
Configuración DESCRIPCIÓN
Service Account Key Path La ruta de acceso al archivo JSON de la clave de la cuenta de servicio. La clave debe estar presente y ser legible en la ruta de acceso y en cada nodo del controlador. QueryGrid debe tener acceso de lectura a la clave. La propiedad Service Account Key Path y el parámetro Service Account Key son mutuamente excluyentes.
Service Account Key El contenido del archivo JSON de la clave de la cuenta de servicio se puede colocar en esta propiedad. La clave está redactada en Viewpoint y los registros. La propiedad Service Account Key y el parámetro Service Account Key Path son mutuamente excluyentes.
Archivo de clave de muestra:
{
  "type": "service_account",
  "project_id": "9999xyz",
  "private_key_id": "9999fe35b147fa097777461661d741cf616c57b8f386",
  "private_key": "-----BEGIN PRIVATE KEY-----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\noNZF8KEf3Xbr0C1VL5MbhJk=\n-----END PRIVATE KEY-----\n",
  "client_email": "xyz@xyz.iam.gserviceaccount.com",
  "client_id": "123456789012345678901234",
  "auth_uri": "9999https://xyz.google.com/o/oauth2/auth",
  "token_uri": "https://xyz.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/sa-uda-querygrid-000%40uda-querygrid.iam.gserviceaccount.com"
}

Valor predeterminado de la aplicación

Google Cloud puede asociar credenciales con una máquina virtual (VM). Al seleccionar el mecanismo de autenticación predeterminado de la aplicación, QueryGrid puede usar las credenciales proporcionadas a la instancia de Google Cloud Compute. El mecanismo predeterminado de la aplicación usa las credenciales de la cuenta de servicio asociadas al recurso (como la instancia de la VM en Google Cloud) que ejecuta el controlador que accede a BigQuery. Las credenciales predeterminadas de la aplicación solo se aplican cuando el contenedor de la VM está en Google Cloud.

El valor predeterminado de la aplicación no debe usarse cuando se ejecuta el controlador del conector de BigQuery QueryGrid en las instalaciones o en otras plataformas en la nube. El mecanismo de autenticación no depende de ninguna propiedad adicional del conector. La configuración del conector de BigQuery usa el valor predeterminado de la aplicación como mecanismo predeterminado para acceder al origen de datos.

Token de actualización (OAuth)

El objetivo principal del objeto de autorización Refresh Token (OAuth) es permitir que diferentes usuarios de Vantage accedan a BigQuery mediante identidades múltiples o únicas de Google Cloud. Esto se logra cuando los usuarios tienen sus propios objetos de autorización para usar con el servidor externo de QueryGrid. Al crear el objeto de autorización, los valores clientSecret y refreshToken se colocan en el campo de contraseña en ese orden, separados por un espacio. Estas propiedades también se pueden establecer en las propiedades del conector y del enlace, pero el objeto de autorización tiene prioridad si se proporciona.
Configuración DESCRIPCIÓN
ID de cliente El ID de cliente del objeto de autorización utilizado con un token de actualización
Secreto del cliente El secreto del cliente de OAuth utilizado con un token de actualización
Token de actualización de OAuth El token de actualización que se usa con la autenticación de OAuth
Este es el único mecanismo de autenticación en el que las credenciales se pueden pasar a través de los objetos de autorización en Vantage.
Antes de utilizar el método de autenticación Refresh Token, primero debe generar clientID, clientSecret y refreshToken. Una vez creados, concatene clientSecret y refreshToken y utilícelos como contraseña para el objeto de autorización. clientSecret y refreshToken están separados por un espacio como en el siguiente ejemplo:
{clientSecret}{singlespace}{refreshToken} e.g. "testsecret123 testtoken456"