背景
Workforce Identity 連携では、外部 ID プロバイダ(IdP)を使用して、Google Cloud サービスの従業員、パートナー、請負業者を認証および認可できます。
Workforce Identity 連携がプロジェクトで構成されている場合、外部 ID ユーザーは、Google Cloud コンソール、Google Cloud CLI、Dataproc API を使用して、以下を除くほとんどの Dataproc リソースと機能にアクセスできます。
- Dataproc コンポーネント ゲートウェイ
- Dataproc on GKE
- Dataproc 個人用認証
- Dataproc サービス アカウント ベースの安全なマルチテナンシー
- Google Cloud コンソールのBatchとJobsの詳細ページの [Output] セクションと、クラスタとJobsのリストページの [Recommended Alerts] セクション。
Dataproc コンポーネント ゲートウェイと一緒に Workforce Identify 連携を使用する方法
Workforce Identity 連携の構成ガイドに沿って、Workforce Identity 連携を構成します。
外部 ID ユーザーに
dataproc.clusters.useロールを付与して、Dataproc コンポーネント ゲートウェイへのアクセスを許可します(プリンシパルに IAM ロールを付与するをご覧ください)。- IAM ポリシーで外部 ID を表す方法については、IAM ポリシーでWorkforce プール ユーザーを表すをご覧ください。
クラスタ ウェブ インターフェースにアクセスする
コンポーネント ゲートウェイの URL を表示してアクセスするをご覧ください。外部 ID ユーザーについて次の相違点にご注意ください。
外部 ID で認証されたユーザーだけが、外部 ID の URL にアクセスできます。ユーザーがログインしていないときに外部 ID の URL にアクセスすると、Workforce プール プロバイダ名を指定する認証ポータルにリダイレクトされます。次に、ログインのため ID プロバイダにリダイレクトされます。その後、コンポーネント ウェブ インターフェースにリダイレクトされます。
外部 ID の URL の形式は次のとおりです。
https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
次のステップ
- Dataproc コンポーネントがあるクラスタを作成します。