Skip to main content

GCS 作为私有数据存储

按照本指南配置您的 Alteryx One Platform 工作区,以将 Alteryx Data Storage (ADS) 替换为您拥有的 Google Cloud Storage (GCS) 实例。

注意

将来,希望将他们自己的身份验证安全策略应用于各个工作区的组织可以针对每个工作区启用单点登录。目前,Google 服务账号在工作区模式下将 Google Cloud Storage 预配为 Alteryx 私有数据存储。在工作区模式下,所有用户都可以访问他们在 Alteryx One 工作区中创建、维护和使用的数据资产。对于用户在默认存储桶中使用的所有数据资产,他们可以更改默认的上传和输出路径。这使工作区中的所有用户都能够访问 GCP 存储并对其他兼容连接执行凭证透传。

限制

连接性

  • 未连接到 Amazon Redshift。

  • 将 GCS 预配为私有数据存储的工作区不支持 Snowflake 连接。

  • 对于 Google 云平台 (GCP),Alteryx One 仅允许每个工作区有 1 个 GCP 项目,并向下推至相同的 BigQuery 连接(具有相同的项目和服务账户)。

引擎可用性

  • 将 GCS 预配为私有数据存储的工作区不支持 EMR Spark 作为引擎或重采样功能。

  • Alteryx 引擎不支持超过 1 小时的作业运行时间。

平台

  • 一旦将 GCS 设置为私有数据存储,您便无法在私有数据存储选项之间(例如,GCS 至 S3)进行切换。

  • 将 GCS 预配为私有数据存储的工作区不支持 Machine Learning

先决条件

  • 成为 Alteryx One 专业版或企业版计划的用户。

  • Alteryx One 中拥有工作区管理员角色。

  • 拥有对目标 GCP 项目的管理权限。

  • 在 GCP 中创建一个 GCS 存储桶。

Alteryx One 上的 Google Cloud Storage 设置指南

要将 GCS 设置为私有数据存储,您必须先选择要使用的 GCS 身份验证方法。然后,在工作区中启用 GCS 作为私有数据存储。

配置 GCS 身份验证

Alteryx One 与您的 GCS 位置之间建立安全连接。针对您的私有数据存储,您有两个选项可用于对 GCS 进行身份验证...

  • 云授权:使用云授权功能,利用您的 Google IAM 获取按需且限定范围的用户凭证,以访问 Google Storage。

  • 服务账号密钥:服务账户密钥通过 Google API 对应用程序、脚本或服务进行身份验证。Alteryx One 使用服务账户通过 Google 服务账号获取工作区级别的凭证。

云授权

步骤 1:设置单点登录 (SSO)

按照 Google Cloud Platform SSO Setup Guide (OIDC) 为您的工作区配置 SSO。

步骤 2:配置内部 GCP 应用程序

  1. 转至 GCP 控制台中的 API 和服务

  2. 转至 OAuth 权限请求页面

  3. 选择内部,然后选择创建

  4. 名称字段中,输入您的应用程序名称。例如,工作区的名称。

  5. 授权域下,选择添加域,然后输入 alteryxcloud.com

  6. 选择保存并继续

  7. 添加以下范围:

    openid

    https://www.googleapis.com/auth/userinfo.email

    https://www.googleapis.com/auth/userinfo.profile

    https://www.googleapis.com/auth/devstorage.read_write

    https://www.googleapis.com/auth/bigquery

  8. 选择注册

  9. 选择凭证

  10. 选择创建凭证,然后选择 OAuth 客户端 ID

  11. 应用程序类型下拉列表中选择 Web 应用程序

  12. 名称字段中,输入您的应用程序名称。例如,工作区的名称。

  13. 授权重定向 URL 下,选择添加 URI 按钮,然后输入生产和测试回调 URL。参照此模板…

    1. 生产:https://{platformEnvironment}/workspace/${workspaceName}/sso/googleCallback

    2. 测试:https://{platformEnvironment}/workspace/test/${workspaceName}/sso/googleCallback

    3. 例如......

      https://us1.alteryxcloud.com/workspace/YOUR-WORKSPACE-NAME/sso/googleCallback
https://us1.alteryxcloud.com/workspace/test/YOUR-WORKSPACE-NAME/sso/googleCallback

    注意

    这些更改可能需要几分钟才能生效。

  14. 选择保存

  15. 记下并复制您的客户端 ID客户端私密密钥。您稍后将在步骤 3 中使用这些信息。

步骤 3:在 Alteryx One 上配置云授权

  1. 返回到您的 Alteryx One 工作区。

  2. 转至个人资料菜单 > 工作区管理员 > 私有数据处理 > 云授权,然后选择 Google Cloud Platform

  3. 在 GCP 控制台中创建凭证后,输入您在步骤 2 中复制的 GCP 客户端 ID

  4. 在 GCP 控制台中创建凭证后,输入您在步骤 2 中复制的 GCP 客户端私密密钥

  5. 选择保存

  6. Alteryx One 会指示您先注销再重新登录,然后才能继续操作。

服务账号密钥

  1. 转至 Google Cloud Console,然后使用您的 Google 账户登录。

  2. 如果您有现有项目,请选择要在其中创建服务账户密钥的项目。如果您没有项目,请立即创建项目。

  3. 在左窗格中,选择 IAM 和管理员,然后选择服务账户

  4. 选择创建服务账户

  5. 输入服务账户详细信息:

    1. 输入服务账户的名称。

    2. [可选] 输入描述。例如,Alteryx One 工作区的名称。

    3. 为服务账户选择一个角色。例如,项目 > Editor,或特定的 API 角色(具体取决于您的需求)。请注意,Alteryx One 需要以下权限:

      storage.buckets.get

      storage.buckets.list

      storage.objects.create

      storage.objects.delete

      storage.objects.get

      storage.objects.list

    4. 选择继续

  6. 在“密钥”部分中,选择创建密钥,然后选择 JSON 密钥类型。

  7. 选择 JSON 密钥类型,然后选择创建。私钥将自动生成并下载到您的计算机。您稍后将在步骤 2 中使用此密钥。

    小心

    确保 JSON 密钥文件的安全,因为它提供对您的服务账户的访问权限。

将 GCS 设置为私有数据存储

  1. 登录 Alteryx One 工作区。

  2. 转至个人资料菜单 > 工作区管理员 > 私有数据处理 > 存储,然后选择 Google Cloud Storage

  3. 如果您创建了服务账户密钥,请在“服务账户密钥”下复制并粘贴您先前创建的完整 JSON 密钥。如果您设置了云授权,请跳过此步骤。

  4. 在“默认存储桶”下,输入 GCS 存储桶名称。

  5. [可选] 输入项目 ID。请注意,这会覆盖服务账户密钥中的项目 ID。

  6. 选择保存,以便将 GCS 预配为 Alteryx One 工作区的私有数据存储。

注意

在 GCS 被设置为基本存储后,当用户首次登录工作区时,Alteryx One 会自动创建默认路径。

更改上传和输出目录位置

用户可以将其工作区首选项更新为预配的默认存储桶中的目标“输出”和“上传”位置。要更改位置首选项,请执行以下步骤:

  1. 登录 Alteryx One 工作区。

  2. 转至个人资料菜单 > 首选项 > 存储

  3. 选择输出或上传目录旁边的编辑。您也可以在默认存储桶中创建新目录。

    注意

    默认情况下,上传目录为 gs://${defaultBucket}/${workspaceId}/${personId}/uploads,而输出目录为 gs://${defaultBucket}/${workspaceId}/${personId}/queryResults

Alteryx One 上浏览 Google Cloud Storage 中的数据集

启用 GCS 作为私有数据存储后,用户可以从管理员预配的默认存储桶中浏览和导入数据集。要浏览数据,请执行以下步骤:

  1. 登录 Alteryx One 工作区。

  2. 访问数据页面。

  3. 选择导入数据。在左侧窗格中,您应看到作为导入数据选项的 Google Cloud Storage。

  4. 选择 Google Cloud Storage 以访问您的数据。

VPC Service Controls for Private Data Storage

When configuring Private Data Storage with a GCS bucket with VPC Service Controls enabled, add the Alteryx data plane Google Cloud project to your VPC Service Controls service perimeter. Without this configuration, Alteryx services may be unable to access the storage bucket.

Alteryx Data Plane GCP Projects

Add the appropriate Alteryx data plane project number for your deployment region to the VPC Service Controls perimeter.

Region

GCP Region

Control Plane Project

GCP Project Number

us1

us-west1

c-us-w1-p00002

774973207721

eu1

europe-west3

c-eu-w3-p00003

180689404527

au1

australia-southeast1

c-au-se1-p00004

530857852645

Add Alteryx Project to VPC Service Controls Perimeter

  1. Go to the Google Cloud Console and sign in with your Google account.

  2. Go to Security > VPC Service Controls.

  3. Select the service perimeter that protects your GCS bucket and select Edit Perimeter.

  4. Under Resources, select Add Projects.

  5. Add the Alteryx data plane project number for your deployment region and select Save.

本节内容如下: