このページでは、Google Cloud ユーザー アカウントやサービス アカウントに、プロジェクト内の基本的な Dataproc Metastore リソースに対するアクセス権を付与する方法について説明します。このページで説明するロールは、Dataproc Metastore サービスを作成するためのアクセス権を付与します。
アカウントに付与する制御の範囲に応じて、事前定義された以下の IAM ロールのいずれかを付与します。
roles/metastore.editor
Dataproc Metastore に対する完全アクセス権を付与するroles/metastore.admin
は、IAM 権限の更新を含め、Dataproc Metastore リソースに対する完全アクセス権を付与します。
これらのロールが提供する特定の IAM 権限の詳細については、Dataproc Metastore IAM のロールをご覧ください。
準備
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Dataproc Metastore API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Dataproc Metastore API.
必要なロール
使用している Google Cloud プロジェクトで roles/owner
(オーナー)の基本の IAM ロール、または次の権限を付与するロールが必要です。
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
最小権限の原則に従ってこれらの権限を取得するには、管理者に roles/resourcemanager.projectIamAdmin
(プロジェクト IAM 管理者)ロールの付与を依頼してください。
アクセスロールを付与する方法
gcloud
gcloud CLI を使用するには、Google Cloud CLI をインストールして初期化するか、Cloud Shell を使用します。
次の add-iam-policy-binding
コマンドを実行して、Dataproc Metastore の事前定義ロールを IAM プリンシパル(ユーザー アカウントまたはサービス アカウント)に付与します。
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL \ --role=METASTORE_ROLE
次のように置き換えます。
PROJECT_ID
: Metastore アクセスを有効にするプロジェクトの ID。PRINCIPAL
: プリンシパルのタイプとメール ID(メールアドレス)です。- ユーザー アカウントの場合: ユーザー:EMAIL_ID
- サービス アカウントの場合: serviceAccount:EMAIL_ID
- Google グループの場合: group:EMAIL_ID
METASTORE_ROLE
: プリンシパルに付与するロールに応じて、roles/metastore.editor
またはroles/metastore.admin
のいずれかの値。これらのロールで付与される権限の詳細については、Dataproc Metastore IAM のロールをご覧ください。