ユーザーに Dataproc Metastore IAM の基本ロールを付与する

このページでは、Google Cloud ユーザー アカウントやサービス アカウントに、プロジェクト内の基本的な Dataproc Metastore リソースに対するアクセス権を付与する方法について説明します。このページで説明するロールは、Dataproc Metastore サービスを作成するためのアクセス権を付与します。

アカウントに付与する制御の範囲に応じて、事前定義された以下の IAM ロールのいずれかを付与します。

  • roles/metastore.editorDataproc Metastore に対する完全アクセス権を付与する
  • roles/metastore.admin は、IAM 権限の更新を含め、Dataproc Metastore リソースに対する完全アクセス権を付与します。

これらのロールが提供する特定の IAM 権限の詳細については、Dataproc Metastore IAM のロールをご覧ください。

準備

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Dataproc Metastore API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Dataproc Metastore API.

    Enable the API

必要なロール

使用している Google Cloud プロジェクトで roles/owner(オーナー)の基本の IAM ロール、または次の権限を付与するロールが必要です。

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

最小権限の原則に従ってこれらの権限を取得するには、管理者に roles/resourcemanager.projectIamAdmin(プロジェクト IAM 管理者)ロールの付与を依頼してください。

アクセスロールを付与する方法

gcloud

gcloud CLI を使用するには、Google Cloud CLI をインストールして初期化するか、Cloud Shell を使用します。

次の add-iam-policy-binding コマンドを実行して、Dataproc Metastore の事前定義ロールを IAM プリンシパル(ユーザー アカウントまたはサービス アカウント)に付与します。

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

次のように置き換えます。

  • PROJECT_ID: Metastore アクセスを有効にするプロジェクトの ID。
  • PRINCIPAL: プリンシパルのタイプとメール ID(メールアドレス)です。
    • ユーザー アカウントの場合: ユーザー:EMAIL_ID
    • サービス アカウントの場合: serviceAccount:EMAIL_ID
    • Google グループの場合: group:EMAIL_ID
  • METASTORE_ROLE: プリンシパルに付与するロールに応じて、roles/metastore.editor または roles/metastore.admin のいずれかの値。これらのロールで付与される権限の詳細については、Dataproc Metastore IAM のロールをご覧ください。