问题描述
我将GCE实例与GCP提供的python / jupyter笔记本图像之一配合使用来进行一些数据分析。数据位于BigQuery中。该实例默认情况下可以使用服务帐户访问BiqQuery,但是出于数据保护的原因,我必须使用个人用户帐户来请求数据。
我知道可以在python中使用程序化的oauth流程来请求凭据以使用个人帐户对BigQuery进行身份验证,但是每次您重新启动ipython内核时都必须以交互方式运行该流程,并涉及在浏览器中打开该授权URL并然后粘贴秘密,这很烦人。
由于我使用IAP使用我的帐户登录到GCE实例,是否有办法从IAP获取个人凭据以自动用于对BigQuery的身份验证?
解决方法
据我了解,IAP就像是用户和应用程序(在您的情况下,是在GCE上运行的jupyter服务器)之间的登录屏幕,目的是向应用程序验证用户身份,例如jupyter服务器。
IAP在身份验证后向您的http请求中添加一个{_3}作为signed headers的id_token(JWT),该JWT是专门为IAP实例创建的,如果您对jwt进行base64解码,则会看到观众声明已设置IAP实例的client_id,并且不能将其用于其他目的。
bigquery还需要access_token而不是id_token。我认为执行oauth流程可能是唯一的方法。但很高兴得到纠正...