本页面介绍了如何授予 Google Cloud 用户账号或服务 对项目中基本 Dataproc Metastore 资源的账号访问权限。本页介绍的这些角色可用于创建 Dataproc Metastore 服务。
根据您希望该账号拥有的控制范围,您可以向其授予以下预定义 IAM 角色之一:
roles/metastore.editor,用于授予对 Dataproc Metastore 资源的完全控制权roles/metastore.admin以授予对 Dataproc Metastore 资源的完全控制权,包括更新 IAM 权限。
如需详细了解这些角色提供的特定 IAM 权限,请参阅 Dataproc Metastore IAM 角色。
准备工作
- 登录您的 Google Cloud 账号。如果您是 Google Cloud 新手,请创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Enable the Dataproc Metastore API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Enable the Dataproc Metastore API.
所需的角色
您必须在所使用的 Google Cloud 项目中拥有 roles/owner(Owner)基本 IAM 角色,或者拥有授予以下权限的角色:
resourcemanager.projects.getresourcemanager.projects.getIamPolicyresourcemanager.projects.setIamPolicy
如需获得这些权限,同时遵循最小权限原则,请让管理员向您授予 roles/resourcemanager.projectIamAdmin(项目 IAM 管理员)角色。
如何授予访问角色
gcloud
如需使用 gcloud CLI,您可以安装并初始化 Google Cloud CLI,也可以使用 Cloud Shell。
运行以下 add-iam-policy-binding 命令,向 IAM 主体(用户账号或服务账号)授予 Dataproc Metastore 预定义角色。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=PRINCIPAL \
--role=METASTORE_ROLE替换以下内容:
PROJECT_ID:您要为其启用 Metastore 访问权限的项目的 ID。PRINCIPAL:主账号的类型和电子邮件 ID(电子邮件地址)。- 对于用户账号:user:EMAIL_ID
- 对于服务账号:serviceAccount:EMAIL_ID
- 对于 Google 群组:群组:EMAIL_ID
METASTORE_ROLE:roles/metastore.editor或roles/metastore.admin值(具体取决于您要授予主账号的角色)。如需详细了解这些角色授予的权限,请参阅 Dataproc Metastore IAM 角色。