背景
Workforce Identity 連携を使用すると、外部 ID プロバイダ(IdP)を使用して、Google Cloud サービスに対するワークフォース(従業員、パートナー、請負業者)の認証と認可を行うことができます。
Workforce Identity 連携がプロジェクトで構成されている場合、外部 ID ユーザーは、Google Cloud コンソール、Google Cloud CLI、Dataproc API を使用して、以下を除くほとんどの Dataproc リソースと機能にアクセスできます。
- Dataproc コンポーネント ゲートウェイ
- Dataproc on GKE
- Dataproc の個人認証
- Dataproc サービス アカウント ベースの安全なマルチテナンシー
- Google Cloud コンソールのBatchとJobsの詳細ページの [Output] セクションと、クラスタとJobsのリストページの [Recommended Alerts] セクション。
Dataproc コンポーネント ゲートウェイと一緒に Workforce Identify 連携を使用する方法
Workforce Identity 連携を構成するガイドに沿って、Workforce Identity 連携を構成します。
外部 ID ユーザーに Dataproc コンポーネント ゲートウェイへのアクセスを許可するために、
dataproc.clusters.useロールを付与します(プリンシパルに IAM ロールを付与するをご覧ください)。- IAM ポリシーで外部 ID を表す方法については、IAM ポリシーでWorkforce プール ユーザーを表すをご覧ください。
クラスタのウェブ インターフェースにアクセスする
コンポーネント ゲートウェイの URL を表示してアクセスするをご覧ください。外部 ID ユーザーについて次の相違点にご注意ください。
外部 ID で認証されたユーザーのみが、外部 ID の URL にアクセスできます。ユーザーがログインしていないときに外部 ID の URL にアクセスすると、Workforce プール プロバイダ名を指定する認証ポータルにリダイレクトされます。次に、ログインするために ID プロバイダにリダイレクトされます。その後、コンポーネントのウェブ インターフェースにリダイレクトされます。
外部 ID の URL の形式は次のとおりです。
https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
次のステップ
- Dataproc コンポーネントがあるクラスタを作成します。