En esta página, se describe cómo otorgar una cuenta de usuario o servicio de Google Cloud acceso de cuenta a recursos básicos de Dataproc Metastore en un proyecto. Los roles que se describen en esta página proporcionan acceso para crear un servicio de Dataproc Metastore.
Según el alcance de control que quieras que tenga la cuenta, puedes otorgarle uno de estos roles de IAM predefinidos:
roles/metastore.editor
para otorgar control total de los recursos de Dataproc Metastoreroles/metastore.admin
para otorgar control total de los recursos de Dataproc Metastore, incluida la actualización de los permisos de IAM.
Para obtener información detallada sobre los permisos de IAM específicos que proporcionan estos roles, consulta Roles de IAM de Dataproc Metastore.
Antes de comenzar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Dataproc Metastore API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Dataproc Metastore API.
Funciones requeridas
Debes tener el rol de IAM básico de roles/owner
(Propietario) en la
Proyecto de Google Cloud que estás usando o un rol que otorgue estos permisos:
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
Para obtener estos permisos y seguir el principio de privilegio mínimo,
pedirle a tu administrador que te otorgue el rol de roles/resourcemanager.projectIamAdmin
(administrador de IAM del proyecto)
en el área de la seguridad en la nube.
Cómo otorgar roles de acceso
gcloud
Para usar gcloud CLI, puedes instalar y, luego, inicializar Google Cloud CLI, o bien puedes usar Cloud Shell.
Ejecuta el siguiente comando de add-iam-policy-binding
para otorgar un rol predefinido de Dataproc Metastore a una principal de IAM
(cuenta de usuario o de servicio).
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL \ --role=METASTORE_ROLE
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto para el que deseas habilitar el acceso de Metastore.PRINCIPAL
: Es el tipo y el ID de correo electrónico (dirección de correo electrónico) del principal.- Para cuentas de usuario: user:EMAIL_ID
- Para cuentas de servicio: serviceAccount:EMAIL_ID
- Para Grupos de Google: grupo:EMAIL_ID
METASTORE_ROLE
: Uno de los siguientes valores, según el rol que desees otorgar a la principal:roles/metastore.editor
oroles/metastore.admin
. Para obtener detalles sobre los permisos que otorgan estas funciones, consulta Funciones de IAM de Dataproc Metastore.