プライベートデータストレージとしてのGCS
このガイドに従って、所有しているGoogle Cloud Storage (GCS)のインスタンスでAlteryx Data Storage (ADS)を置き換えるようにAlteryx One Platformワークスペースを設定します。
注記
今後、組織が個々のワークスペースに独自の認証セキュリティポリシーを適用する場合、ワークスペースごとにシングルサインオンを有効化できるようになります。現在Googleサービスアカウントは、Google Cloud StorageをワークスペースモードのAlteryxプライベートデータストレージとしてプロビジョニングします。ワークスペースモードでは、すべてのユーザーがAlteryx Oneワークスペースで作成、管理、使用するデータアセットにアクセスできます。ユーザーは、既定のバケットで使用するすべてのデータアセットの既定のアップロードパスと出力パスを変更できます。これにより、ワークスペース上のすべてのユーザーがGCPストレージにアクセスし、他の互換性のある接続に資格情報パススルーを実行できます。
制限事項
接続
Amazon Redshiftに接続することはできません。
プライベートデータストレージとしてGCSでプロビジョニングされたワークスペースは、Snowflake接続をサポートしていません。
Google Cloud Platform (GCP)の場合、Alteryx Oneでは、ワークスペースごとにGCPプロジェクトを1つのみ作成でき、同じBig Query接続(同じプロジェクトとサービスアカウント)にプッシュダウンされます。
エンジンの可用性
プライベートデータストレージとしてGCSでプロビジョニングされたワークスペースでは、EMR Sparkをエンジンとしてサポートしておらず、また再サンプリング機能も使用できません。
Alteryx Engineは、1時間を超えるジョブランタイムをサポートしていません。
プラットフォーム
一度GCSをプライベートデータストレージとして設定すると、プライベートデータストレージオプション(GCSからS3など)を切り替えることはできません。
プライベートデータストレージとしてGCSでプロビジョニングされたワークスペースは、Machine Learningをサポートしていません。
必要条件
プロフェッショナルプランまたはエンタープライズAlteryx Oneプランのユーザーである。
Alteryx Oneでワークスペース管理者ロールが割り当てられている。
ターゲットのGCPプロジェクトへの管理アクセス権を所有している。
GCPにGCSバケットが作成されている。
Alteryx OneでのGoogle Cloud Storageセットアップガイド
GCSをプライベートデータストレージとして設定するには、まず使用するGCS認証方法を選択する必要があります。それから、ワークスペースのプライベートデータストレージとしてGCSを有効にします。
GCS認証の設定
Alteryx OneとGCSの場所の間で安全な接続を確立します。プライベートデータストレージのGCS認証には、次の2つのオプションがあります。
クラウド認証: クラウド認証は、Google IAMを活用してGoogleストレージへのアクセスに必要な、オンデマンドでスコープが設定されたユーザー資格情報を取得するのに使用します。
サービスアカウントキー: サービスアカウントキーは、Google APIを使用してアプリケーション、スクリプト、サービスを認証します。Alteryx Oneはサービスアカウントを使用して、Googleサービスアカウントを使用してワークスペースレベルの資格情報を取得します。
クラウド認証
ステップ1: シングルサインオン(SSO)を設定する
ワークスペースのSSOを設定するには、 Google Cloud Platform SSO Setup Guide (OIDC)を参照してください。
ステップ2: 内部GCPアプリケーションの設定
GCPコンソールの[APIとサービス]に移動します。
[OAuth同意画面]に移動します。
[内部]を選択し、[作成]を選択します。
[名前]フィールドに、アプリの名前を入力します。たとえば、ワークスペースの名前などを使用します。
[認証済みドメイン]で[ドメインの追加]を選択し、「
alteryxcloud.com」と入力します。[保存して次へ]を選択します。
次のスコープを追加します。
openidhttps://www.googleapis.com/auth/userinfo.emailhttps://www.googleapis.com/auth/userinfo.profilehttps://www.googleapis.com/auth/devstorage.read_writehttps://www.googleapis.com/auth/bigquery登録 を選択します。
[認証情報]を選択します。
[認証情報を作成]を選択し、[OAuthクライアントID]を選択します。
[アプリケーションの種類]ドロップダウンから[ウェブアプリケーション]を選択します。
[名前]フィールドに、アプリの名前を入力します。たとえば、ワークスペースの名前などを使用します。
[承認済みのリダイレクトURL]で[URIを追加]ボタンを選択し、本番環境とテスト用のコールバックURLを入力します。以下のテンプレートに従って入力します。
本番環境:
https://{platformEnvironment}/workspace/${workspaceName}/sso/googleCallbackテスト:
https://{platformEnvironment}/workspace/test/${workspaceName}/sso/googleCallback例:
https://us1.alteryxcloud.com/workspace/YOUR-WORKSPACE-NAME/sso/googleCallback https://us1.alteryxcloud.com/workspace/test/YOUR-WORKSPACE-NAME/sso/googleCallback
注記
これらの変更が有効になるまでに数分かかる場合があります。
[保存]を選択します。
クライアントIDとクライアントシークレットをメモしてコピーします。これらは後からステップ3で使用します。
ステップ3: Alteryx Oneでクラウド認証を設定する
Alteryx Oneワークスペースに戻ります。
[プロファイル]メニュー > [ワークスペース管理者] > [プライベートデータ処理] > [クラウド認証]に移動し、[Google Cloud Platform]を選択します。
GCPコンソールで認証情報を作成した後にステップ2でコピーしたGCPクライアントIDを入力します。
GCPコンソールで認証情報を作成した後にステップ2でコピーしたGCPクライアントシークレットを入力します。
[保存]を選択します。
Alteryx Oneから一度サインアウトして再度サインインしてから続行するように表示されます。
サービスアカウントキー
[Google Cloudコンソール]に移動し、Googleアカウントでサインインします。
既存のプロジェクトがある場合は、サービスアカウントキーを作成するプロジェクトを選択します。プロジェクトがない場合は、その場でプロジェクトを作成します。
左側のペインで、[IAMと管理]を選択し、[サービスアカウント]を選択します。
[サービスアカウントを作成]を選択します。
以下のサービスアカウントの詳細を入力します。
サービスアカウントの名前を入力します。
[オプション]説明を入力します。たとえば、Alteryx Oneワークスペースの名前などを使用します。
サービスアカウントのロールを選択します。たとえば、[プロジェクト] > [編集者]など、必要に応じて特定のAPIロールなどを選択します。Alteryx Oneには、次の権限が必要です。
storage.buckets.getstorage.buckets.liststorage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.list[続行]を選択します。
[キー]セクションで、[キーを作成]を選択し、[JSON]キータイプを選択します。
[JSON]キータイプを選択し、[作成]を選択します。プライベートキーが自動的に生成され、お使いのコンピューターにダウンロードされます。これは後からステップ2で使用します。
注意
サービスアカウントへのアクセスに使用するため、JSONキーファイルは安全に保管してください。
GCSをプライベートデータストレージとして設定する
Alteryx Oneワークスペースにサインインします。
[プロファイル]メニュー > [ワークスペース管理者] > [プライベートデータ処理] > [ストレージ]に移動し、[Google Cloud Storage]を選択します。
サービスアカウントキーを作成した場合は、[サービスアカウントキー]から、前のステップで作成したJSONキー全体をコピーして貼り付けます。クラウド認証を設定している場合は、この手順をスキップします。
[既定のバケット]に、GCSバケット名を入力します。
[オプション]プロジェクトIDを入力します。これにより、[サービスアカウントキー]のプロジェクトIDが上書きされます。
[保存]を選択し、プライベートデータストレージとしてGCSを使用するAlteryx Oneワークスペースをプロビジョニングします。
注記
GCSがベースストレージとして設定された後、ユーザーが初めてワークスペースにサインインする際に、Alteryx Oneで自動的に既定のパスが作成されます。
アップロードディレクトリと出力ディレクトリの場所の変更
ワークスペースの設定で、プロビジョニングされた既定のバケット内の目的の出力先とアップロード場所に更新できます。場所の設定を変更するには、次の手順を実行します。
Alteryx Oneワークスペースにサインインします。
[プロファイル]メニュー> [設定] > [ストレージ]の順に移動します。
出力ディレクトリまたはアップロードディレクトリの横にある[編集]を選択します。既定のバケット内に新しいディレクトリを作成することもできます。
注記
既定の場合、アップロードディレクトリは「
gs://${defaultBucket}/${workspaceId}/${personId}/uploads」、出力ディレクトリは「gs://${defaultBucket}/${workspaceId}/${personId}/queryResults」です。
Alteryx OneでGoogle Cloud Storageのデータセットを参照する
GCSをプライベートデータストレージとして有効にすると、ユーザーは管理者がプロビジョニングした既定のバケットからデータセットを参照してインポートできます。データを参照するには、次の手順を実行します。
Alteryx Oneワークスペースにサインインします。
[データ]ページに移動します。
[データをインポート]を選択します。左側のペインに、[データをインポート]のオプションとして[Google Cloud Storage]が表示されます。
[Google Cloud Storage]を選択してデータにアクセスします。
VPC Service Controls for Private Data Storage
When configuring Private Data Storage with a GCS bucket with VPC Service Controls enabled, add the Alteryx data plane Google Cloud project to your VPC Service Controls service perimeter. Without this configuration, Alteryx services may be unable to access the storage bucket.
Alteryx Data Plane GCP Projects
Add the appropriate Alteryx data plane project number for your deployment region to the VPC Service Controls perimeter.
Region | GCP Region | Control Plane Project | GCP Project Number |
|---|---|---|---|
us1 | us-west1 | | 774973207721 |
eu1 | europe-west3 | | 180689404527 |
au1 | australia-southeast1 | | 530857852645 |
Add Alteryx Project to VPC Service Controls Perimeter
Go to the Google Cloud Console and sign in with your Google account.
Go to Security > VPC Service Controls.
Select the service perimeter that protects your GCS bucket and select Edit Perimeter.
Under Resources, select Add Projects.
Add the Alteryx data plane project number for your deployment region and select Save.