Concedi ruoli IAM di Dataproc Metastore di base agli utenti

In questa pagina viene descritto come concedere un servizio o un account utente Google Cloud. l'accesso all'account alle risorse di base Dataproc Metastore in un progetto. Questi ruoli descritti in questa pagina forniscono l'accesso per creare un servizio Dataproc Metastore.

A seconda dell'ambito di controllo che vuoi che l'account abbia, concedi uno di questi ruoli IAM predefiniti:

  • roles/metastore.editor per concedere il controllo completo delle risorse Dataproc Metastore
  • roles/metastore.admin per concedere il controllo completo delle risorse Dataproc Metastore, incluso l'aggiornamento delle autorizzazioni IAM.

Per informazioni dettagliate sulle autorizzazioni IAM specifiche fornite da questi ruoli, consulta Ruoli IAM di Dataproc Metastore.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Dataproc Metastore API.

    Enable the API

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Dataproc Metastore API.

    Enable the API

    8.

Ruoli obbligatori

Devi disporre del ruolo IAM di base roles/owner (Proprietario) nel progetto Google Cloud che utilizzi o di un ruolo che conceda le seguenti autorizzazioni:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Per ottenere queste autorizzazioni rispettando il principio del privilegio minimo, chiedi all'amministratore di concederti il ruolo roles/resourcemanager.projectIamAdmin (Amministratore IAM progetto).

Come concedere i ruoli di accesso

gcloud

Per utilizzare gcloud CLI, puoi installare e inizializzare Google Cloud CLI oppure utilizzare Cloud Shell.

Esegui il seguente comando add-iam-policy-binding per concedere un ruolo predefinito di Dataproc Metastore a un'entità IAM (account utente o account di servizio).

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto a cui vuoi attivare l'accesso a Metastore.
  • PRINCIPAL: il tipo e l'ID email (indirizzo email) dell'entità.
    • Per gli account utente: user:EMAIL_ID
    • Per gli account di servizio: serviceAccount:EMAIL_ID
    • Per Google Gruppi: group:EMAIL_ID
  • METASTORE_ROLE: uno dei seguenti valori, a seconda del ruolo che vuoi concedere al principale: roles/metastore.editor o roles/metastore.admin. Per maggiori dettagli sulle autorizzazioni concesse da questi ruoli, consulta Ruoli IAM di Dataproc Metastore.