使用以下身份验证机制之一访问 BigQuery 数据源:
- 服务帐户
- 应用程序默认设置
- 刷新令牌 (OAuth)
服务帐户
当可以使用同一 Google Cloud 身份执行通过 QueryGrid 对 BigQuery 的所有访问类型时,“服务帐户”方法适用。服务帐户机制凭据通过以下两种方式之一提供:
这两个选项不能同时使用,同时提供这两个选项会导致错误。
| 设置 | 说明 |
|---|---|
| Service Account Key Path | 服务帐户密钥 JSON 文件的路径。密钥必须在路径和每个驱动程序节点上都存在且可读。QueryGrid 必须对密钥具有读取权限。Service Account Key Path 属性与 Service Account Key 参数不能同时使用。 |
| Service Account Key | 服务帐户密钥 JSON 文件的内容可以放置在此属性中。密钥在 Viewpoint 和日志上进行编辑。Service Account Key 属性与 Service Account Key Path 参数不能同时使用。 |
示例密钥文件:
{
"type": "service_account",
"project_id": "9999xyz",
"private_key_id": "9999fe35b147fa097777461661d741cf616c57b8f386",
"private_key": "-----BEGIN PRIVATE KEY-----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\noNZF8KEf3Xbr0C1VL5MbhJk=\n-----END PRIVATE KEY-----\n",
"client_email": "xyz@xyz.iam.gserviceaccount.com",
"client_id": "123456789012345678901234",
"auth_uri": "9999https://xyz.google.com/o/oauth2/auth",
"token_uri": "https://xyz.googleapis.com/token",
"auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
"client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/sa-uda-querygrid-000%40uda-querygrid.iam.gserviceaccount.com"
}
应用程序默认设置
Google Cloud 可以将凭据与虚拟机 (VM) 相关联。通过选择“应用程序缺省”身份验证机制,QueryGrid 可以使用提供给 Google Cloud Compute 实例的凭据。应用程序缺省机制使用与运行驱动程序(访问 BigQuery )的资源(例如 Google Cloud 中的 VM 实例)关联的“服务帐户”凭据。应用程序缺省凭据仅适用于 VM 容器位于 Google Cloud 上的情况。
应用程序缺省不适用于在本地或其他云平台上运行 QueryGrid BigQuery 连接器驱动程序的情况。身份验证机制不依赖于任何其他连接器属性。BigQuery 连接器设置使用应用程序缺省作为访问数据源的缺省机制。
刷新令牌 (OAuth)
刷新令牌 (OAuth) 授权对象的主要目的是允许不同的 Vantage 用户使用多个或唯一的 Google Cloud 身份访问 BigQuery。此目的通过让用户拥有自己的授权对象在 QueryGrid 外部服务器使用来实现。创建授权对象时,clientSecret 和 refreshToken 值按顺序放置在密码字段中,以空格分隔。这些属性也可以在连接器和链接属性中设置,但授权对象优先(如果提供)。
这是唯一可以通过 Vantage 上的授权对象传递凭据的身份验证机制。
| 设置 | 说明 |
|---|---|
| 客户端 ID | 与刷新令牌一起使用的授权对象客户端 ID |
| 客户端密钥 | 与刷新令牌一起使用的 Oauth 客户端密钥 |
| OAuth 刷新令牌 | 与 OAuth 身份验证一起使用的刷新令牌 |
在使用刷新令牌身份验证方法之前,必须先生成 clientID、clientSecret 和 refreshToken。创建后,连接 clientSecret 和 refreshToken 并将其用作授权对象的密码。clientSecret 和 refreshToken 由空格分隔,如下例所示:
{clientSecret}{singlespace}{refreshToken} e.g. "testsecret123 testtoken456"