Nutzern grundlegende IAM-Rollen für Dataproc Metastore gewähren

Auf dieser Seite wird beschrieben, wie Sie einem Google Cloud-Nutzerkonto oder -Dienstkonto Zugriff auf grundlegende Dataproc Metastore-Ressourcen in einem Projekt gewähren. Die auf dieser Seite beschriebenen Rollen bieten Zugriff zum Erstellen eines Dataproc Metastore-Dienstes.

Je nachdem, welche Berechtigungen das Konto haben soll, weisen Sie ihm eine der folgenden vordefinierten IAM-Rollen zu:

  • roles/metastore.editor, um vollständige Kontrolle über Dataproc Metastore-Ressourcen zu gewähren
  • roles/metastore.admin, um vollständige Kontrolle über Dataproc Metastore-Ressourcen zu gewähren, einschließlich des Aktualisierens von IAM-Berechtigungen.

Ausführliche Informationen zu den spezifischen IAM-Berechtigungen dieser Rollen finden Sie unter Dataproc Metastore-IAM-Rollen.

Hinweise

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  4. Dataproc Metastore API aktivieren.

    Aktivieren Sie die API

    5.

  5. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  6. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  7. Dataproc Metastore API aktivieren.

    Aktivieren Sie die API

    8.

Erforderliche Rollen

Sie müssen in dem von Ihnen verwendeten Google Cloud-Projekt die einfache IAM-Rolle roles/owner (Inhaber) oder eine Rolle mit diesen Berechtigungen haben:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Damit Sie diese Berechtigungen erhalten und dabei das Prinzip der geringsten Berechtigung anwenden, bitten Sie Ihren Administrator, Ihnen die Rolle roles/resourcemanager.projectIamAdmin (Projekt-IAM-Administrator) zu gewähren.

So gewähren Sie Zugriffsrollen

gcloud

Wenn Sie die gcloud CLI verwenden möchten, können Sie die Google Cloud CLI installieren und initialisieren oder Cloud Shell verwenden.

Führen Sie den folgenden add-iam-policy-binding-Befehl aus, um einem IAM-Hauptkonto (Nutzerkonto oder Dienstkonto) eine vordefinierte Dataproc Metastore-Rolle zuzuweisen.

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

Ersetzen Sie Folgendes:

  • PROJECT_ID: Die ID des Projekts, für das Sie Metastore-Zugriff aktivieren möchten.
  • PRINCIPAL: Der Typ und die E-Mail-ID (E-Mail-Adresse) des Hauptkontos.
    • Für Nutzerkonten: Nutzer:EMAIL_ID
    • Für Dienstkonten: serviceAccount:EMAIL_ID
    • Für Google Groups: Gruppe:EMAIL_ID
  • METASTORE_ROLE: Einer der folgenden Werte, abhängig von der Rolle, die Sie dem Hauptkonto gewähren möchten: roles/metastore.editor oder roles/metastore.admin. Weitere Informationen zu den Berechtigungen, die diese Rollen gewähren, finden Sie unter Dataproc Metastore-IAM-Rollen.