Conceder papéis básicos do IAM do Dataproc Metastore aos usuários

Nesta página, descrevemos como conceder a uma conta de usuário ou de serviço do Google Cloud acesso a recursos básicos do metastore do Dataproc em um projeto. Os papéis descritos nesta página dão acesso para criar um serviço Metastore do Dataproc.

Dependendo do escopo de controle que você quer que a conta tenha, conceda a ela um destes papéis predefinidos do IAM:

  • roles/metastore.editor para conceder controle total dos recursos do metastore do Dataproc.
  • roles/metastore.admin para conceder controle total dos recursos do metastore do Dataproc, incluindo a atualização de permissões do IAM.

Para informações detalhadas sobre as permissões específicas do IAM que esses papéis fornecem, consulte Papéis do IAM do metastore do Dataproc.

Antes de começar

  1. Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

  2. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  3. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  4. Ative a API Dataproc Metastore.

    Ative a API

    5.

  5. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  6. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  7. Ative a API Dataproc Metastore.

    Ative a API

    8.

Papéis necessários

Você precisa ter o papel básico do IAM roles/owner (Proprietário) no projeto do Google Cloud que está usando ou um papel que conceda estas permissões:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Para receber essas permissões seguindo o princípio de privilégio mínimo, peça ao administrador para conceder a você o papel roles/resourcemanager.projectIamAdmin (Administrador do IAM do projeto).

Como conceder papéis de acesso

gcloud

Para usar a CLI gcloud, instale e inicialize a Google Cloud CLI ou use o Cloud Shell.

Execute o comando add-iam-policy-binding a seguir para conceder um papel predefinido do Dataproc Metastore a um principal do IAM (conta de usuário ou de serviço).

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

Substitua:

  • PROJECT_ID: o ID do projeto em que você quer ativar o acesso ao Metastore.
  • PRINCIPAL: o tipo e o ID de e-mail (endereço de e-mail) do principal.
    • Para contas de usuário: usuário:EMAIL_ID
    • Para contas de serviço: serviceAccount:EMAIL_ID
    • Para os Grupos do Google: grupo:EMAIL_ID
  • METASTORE_ROLE: um dos seguintes valores, dependendo do papel que você quer conceder ao principal: roles/metastore.editor ou roles/metastore.admin. Para mais detalhes sobre as permissões que esses papéis concedem, consulte Papéis do IAM do metastore do Dataproc.