Esta página descreve como conceder a uma conta de utilizador ou a uma conta de serviço acesso a recursos básicos do Dataproc Metastore num projeto. Google Cloud Estas funções descritas nesta página fornecem acesso para criar um serviço de Metastore do Dataproc.
Consoante o âmbito do controlo que quer que a conta tenha, atribui-lhe uma destas funções de IAM predefinidas:
roles/metastore.editorpara conceder controlo total dos recursos de Metastore do Dataprocroles/metastore.adminpara conceder controlo total dos recursos do Dataproc Metastore, incluindo a atualização das autorizações do IAM.
Para informações detalhadas sobre as autorizações de IAM específicas que estas funções oferecem, consulte o artigo Funções de IAM do Dataproc Metastore.
Antes de começar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Dataproc Metastore API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Dataproc Metastore API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. resourcemanager.projects.getresourcemanager.projects.getIamPolicyresourcemanager.projects.setIamPolicyPROJECT_ID: o ID do projeto ao qual quer ativar o acesso ao Metastore.PRINCIPAL: o tipo e o ID de email (endereço de email) do principal.- Para contas de utilizador: user:EMAIL_ID
- Para contas de serviço: serviceAccount:EMAIL_ID
- Para Grupos Google: group:EMAIL_ID
METASTORE_ROLE: um dos seguintes valores, consoante a função que quer conceder ao principal:roles/metastore.editorouroles/metastore.admin. Para ver detalhes sobre as autorizações que estas funções concedem, consulte o artigo Funções de IAM do Dataproc Metastore.
Funções necessárias
Tem de ter a função básica de IAM roles/owner (proprietário) no
Google Cloud projeto que está a usar ou uma função que conceda estas autorizações:
Para obter estas autorizações seguindo o princípio do menor privilégio,
peça ao administrador para lhe conceder a função roles/resourcemanager.projectIamAdmin (administrador de IAM do projeto).
Como conceder funções de acesso
gcloud
Para usar a CLI gcloud, pode instalar e inicializar a CLI Google Cloud ou usar a Cloud Shell.
Execute o comando add-iam-policy-binding seguinte para conceder uma função predefinida do Dataproc Metastore a um principal do IAM
(conta de utilizador ou conta de serviço).
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=PRINCIPAL \
--role=METASTORE_ROLESubstitua o seguinte: