背景
Workforce Identity 連携を使用すると、外部 ID プロバイダ(IdP)を使用して、従業員、パートナー、請負業者の認証と認可を行い、 Google Cloud サービスへのアクセスを許可できます。
Workforce Identity 連携がプロジェクトで構成されている場合、外部 ID ユーザーは、 Google Cloud コンソール、Google Cloud CLI、Dataproc API を使用して、以下を除くほとんどの Dataproc リソースと機能にアクセスできます。
- Dataproc コンポーネント ゲートウェイ
- Dataproc on GKE
- Dataproc の個人認証
- Dataproc サービス アカウント ベースの安全なマルチテナンシー
- Google Cloud コンソールの Batch と Jobs の詳細ページの [出力] セクションと、クラスタと Jobs のリストページの [推奨アラート] セクション。
Dataproc コンポーネント ゲートウェイで Workforce Identify 連携を使用する
Workforce Identity 連携を構成するガイドに沿って、Workforce Identity 連携を構成します。
外部 ID ユーザーに
dataproc.clusters.useロールを付与して、Dataproc コンポーネント ゲートウェイへのアクセスを許可します(プリンシパルに IAM ロールを付与するをご覧ください)。- IAM ポリシーで外部 ID を表す方法については、IAM ポリシーで Workforce プールユーザーを表すをご覧ください。
クラスタのウェブ インターフェースにアクセスする
コンポーネント ゲートウェイの URL を表示してアクセスするをご覧ください。外部 ID ユーザーについて次の相違点にご注意ください。
外部 ID で認証されたユーザーのみが、外部 ID の URL にアクセスできます。ユーザーがログインしていないときに外部 ID の URL にアクセスすると、Workforce プール プロバイダ名を指定する認証ポータルにリダイレクトされます。次に、ログインするために ID プロバイダにリダイレクトされます。その後、コンポーネントのウェブ インターフェースにリダイレクトされます。
外部 ID の URL の形式は次のとおりです。
https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
次のステップ
- Dataproc コンポーネントがあるクラスタを作成する。