Utilizzare i service account

Alcune origini dati supportano l'autenticazione del trasferimento dei dati utilizzando un service account tramite la console Google Cloud , l'API o la riga di comando bq. Un service account è un Account Google associato al tuo progetto Google Cloud . Un service account può eseguire job, come query pianificate o pipeline di elaborazione batch, autenticandosi con le credenziali del account di servizio anziché con le credenziali di un utente.

Puoi aggiornare un trasferimento di dati esistente con le credenziali di un service account. Per ulteriori informazioni, vedi Aggiornare le credenziali di trasferimento dei dati.

Le seguenti situazioni richiedono l'aggiornamento delle credenziali:

  • Il trasferimento non è riuscito ad autorizzare l'accesso dell'utente all'origine dati:

    Error code 401 : Request is missing required authentication credential. UNAUTHENTICATED

  • Quando tenti di eseguire il trasferimento, ricevi l'errore INVALID_USER:

    Error code 5 : Authentication failure: User Id not found. Error code: INVALID_USERID

Per scoprire di più sull'autenticazione con i service account, consulta Introduzione all'autenticazione.

Origini dati con supporto del account di servizio

BigQuery Data Transfer Service può utilizzare le credenziali dell'account di servizio per i trasferimenti con quanto segue:

Prima di iniziare

  • Verifica di aver completato tutte le azioni richieste in Attivazione di BigQuery Data Transfer Service.
  • Concedi i ruoli IAM (Identity and Access Management) che forniscono agli utenti le autorizzazioni necessarie per eseguire ogni attività descritta in questo documento.

Autorizzazioni obbligatorie

Per aggiornare un trasferimento di dati in modo che utilizzi un account di servizio, devi disporre delle seguenti autorizzazioni:

  • L'autorizzazione bigquery.transfers.update per modificare il trasferimento.

    Il ruolo IAM predefinito roles/bigquery.admin include questa autorizzazione.

  • Accesso al account di servizio. Per ulteriori informazioni sulla concessione agli utenti del ruolo account di servizio, consulta Ruolo Utente service account.

Assicurati che il account di servizio che scegli per eseguire il trasferimento disponga delle seguenti autorizzazioni:

  • Le autorizzazioni bigquery.datasets.get e bigquery.datasets.update sul set di dati di destinazione. Se la tabella utilizza il controllo dell'accesso a livello di colonna, il account di servizio deve disporre anche dell'autorizzazione bigquery.tables.setCategory.

    Il ruolo IAM predefinito bigquery.admin include tutte queste autorizzazioni. Per saperne di più sui ruoli IAM in BigQuery Data Transfer Service, consulta Introduzione a IAM.

  • Accesso all'origine dati di trasferimento configurata. Per ulteriori informazioni sulle autorizzazioni richieste per le diverse origini dati, consulta Origini dati con account di servizio account.

  • Per i trasferimenti di Google Ads, all'account di servizio deve essere concessa l'autorità a livello di dominio. Per ulteriori informazioni, consulta la guida all'account di servizio dell'API Google Ads.

Aggiornare le credenziali di Data Transfer

Console

La seguente procedura aggiorna una configurazione del trasferimento di dati per l'autenticazione come account di servizio anziché come account utente individuale.

  1. Nella console Google Cloud , vai alla pagina Trasferimenti dati.

    Vai a Trasferimenti dati

  2. Fai clic sul trasferimento nell'elenco dei trasferimenti di dati.

  3. Fai clic su MODIFICA per aggiornare la configurazione del trasferimento.

    Fai clic su Modifica per modificare un trasferimento di dati esistente.

  4. Nel campo Service Account, inserisci il nome dell'account di servizio.

  5. Fai clic su Salva.

bq

Per aggiornare le credenziali di un trasferimento di dati, puoi utilizzare lo strumento a riga di comando bq per aggiornare la configurazione del trasferimento.

Utilizza il comando bq update con i flag --transfer_config, --update_credentials e --service_account_name.

Ad esempio, il seguente comando aggiorna una configurazione del trasferimento di dati per l'autenticazione come account di servizio anziché come account utente individuale:

bq update \
--transfer_config \
--update_credentials \
--service_account_name=abcdef-test-sa@abcdef-test.iam.gserviceaccount.com projects/862514376110/locations/us/transferConfigs/5dd12f26-0000-262f-bc38-089e0820fe38 \

Java

Prima di provare questo esempio, segui le istruzioni di configurazione di Java nella guida rapida di BigQuery per l'utilizzo delle librerie client. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API BigQuery Java.

Per eseguire l'autenticazione in BigQuery, configura le Credenziali predefinite dell'applicazione. Per saperne di più, vedi Configurare l'autenticazione per le librerie client. 

import com.google.api.gax.rpc.ApiException;
import com.google.cloud.bigquery.datatransfer.v1.DataTransferServiceClient;
import com.google.cloud.bigquery.datatransfer.v1.TransferConfig;
import com.google.cloud.bigquery.datatransfer.v1.UpdateTransferConfigRequest;
import com.google.protobuf.FieldMask;
import com.google.protobuf.util.FieldMaskUtil;
import java.io.IOException;

// Sample to update credentials in transfer config.
public class UpdateCredentials {

  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace these variables before running the sample.
    String configId = "MY_CONFIG_ID";
    String serviceAccount = "MY_SERVICE_ACCOUNT";
    TransferConfig transferConfig = TransferConfig.newBuilder().setName(configId).build();
    FieldMask updateMask = FieldMaskUtil.fromString("service_account_name");
    updateCredentials(transferConfig, serviceAccount, updateMask);
  }

  public static void updateCredentials(
      TransferConfig transferConfig, String serviceAccount, FieldMask updateMask)
      throws IOException {
    try (DataTransferServiceClient dataTransferServiceClient = DataTransferServiceClient.create()) {
      UpdateTransferConfigRequest request =
          UpdateTransferConfigRequest.newBuilder()
              .setTransferConfig(transferConfig)
              .setUpdateMask(updateMask)
              .setServiceAccountName(serviceAccount)
              .build();
      dataTransferServiceClient.updateTransferConfig(request);
      System.out.println("Credentials updated successfully");
    } catch (ApiException ex) {
      System.out.print("Credentials was not updated." + ex.toString());
    }
  }
}

Python

Prima di provare questo esempio, segui le istruzioni di configurazione di Python nella guida rapida di BigQuery per l'utilizzo delle librerie client. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API BigQuery Python.

Per eseguire l'autenticazione in BigQuery, configura le Credenziali predefinite dell'applicazione. Per saperne di più, vedi Configurare l'autenticazione per le librerie client. 

from google.cloud import bigquery_datatransfer
from google.protobuf import field_mask_pb2

transfer_client = bigquery_datatransfer.DataTransferServiceClient()

service_account_name = "abcdef-test-sa@abcdef-test.iam.gserviceaccount.com"
transfer_config_name = "projects/1234/locations/us/transferConfigs/abcd"

transfer_config = bigquery_datatransfer.TransferConfig(name=transfer_config_name)

transfer_config = transfer_client.update_transfer_config(
    {
        "transfer_config": transfer_config,
        "update_mask": field_mask_pb2.FieldMask(paths=["service_account_name"]),
        "service_account_name": service_account_name,
    }
)

print("Updated config: '{}'".format(transfer_config.name))