Cette page explique comment accorder à un compte utilisateur ou à un compte de service Google Cloud l'accès aux ressources Dataproc Metastore de base d'un projet. Les rôles décrits sur cette page fournissent un accès permettant de créer un service Dataproc Metastore.
Selon le champ d'application du contrôle que vous souhaitez accorder au compte, vous devez lui attribuer l'un des rôles IAM prédéfinis suivants:
roles/metastore.editor
pour accorder le contrôle total sur les ressources Dataproc Metastore.roles/metastore.admin
pour accorder le contrôle total sur les ressources Dataproc Metastore, y compris la mise à jour des autorisations IAM.
Pour obtenir des informations détaillées sur les autorisations IAM spécifiques fournies par ces rôles, consultez la page Rôles IAM de Dataproc Metastore.
Avant de commencer
- Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
-
Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.
-
Vérifiez que la facturation est activée pour votre projet Google Cloud.
-
Activez l'API Dataproc Metastore
-
Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.
-
Vérifiez que la facturation est activée pour votre projet Google Cloud.
-
Activez l'API Dataproc Metastore
Rôles requis
Vous devez disposer du rôle IAM de base roles/owner
(Propriétaire) dans le projet Google Cloud que vous utilisez, ou d'un rôle qui accorde ces autorisations:
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
Pour obtenir ces autorisations tout en suivant le principe du moindre privilège, demandez à votre administrateur de vous attribuer le rôle roles/resourcemanager.projectIamAdmin
(administrateur IAM du projet).
Accorder des rôles d'accès
gcloud
Pour utiliser gcloud CLI, vous pouvez installer et initialiser Google Cloud CLI, ou utiliser Cloud Shell.
Exécutez la commande add-iam-policy-binding
suivante pour attribuer un rôle prédéfini Dataproc Metastore à un compte principal IAM (compte utilisateur ou compte de service).
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL \ --role=METASTORE_ROLE
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet pour lequel vous souhaitez activer l'accès au métastore.PRINCIPAL
: type et ID d'adresse e-mail (adresse e-mail) du compte principal.- Pour les comptes utilisateur: utilisateur:EMAIL_ID
- Pour les comptes de service: serviceAccount:EMAIL_ID
- Pour Google Groupes: groupe:EMAIL_ID
METASTORE_ROLE
: l'une des valeurs suivantes, en fonction du rôle que vous souhaitez accorder au compte principal:roles/metastore.editor
ouroles/metastore.admin
. Pour plus d'informations sur les autorisations accordées par ces rôles, consultez la page Rôles IAM de Dataproc Metastore.