Otorgar funciones básicas de IAM de Dataproc Metastore a los usuarios

En esta página, se describe cómo otorgar a una cuenta de usuario o de servicio de Google Cloud acceso a los recursos básicos de Dataproc Metastore en un proyecto. Estas funciones descritas en esta página proporcionan acceso para crear un servicio de Dataproc Metastore.

Según el alcance de control que desee que tenga la cuenta, le otorga una de estas funciones de IAM predefinidas:

  • roles/metastore.editor para otorgar control total de los recursos de Dataproc Metastore
  • roles/metastore.admin para otorgar el control total de los recursos de Dataproc Metastore, incluida la actualización de los permisos de IAM.

Para obtener información detallada sobre los permisos de IAM específicos que proporcionan estas funciones, consulta Funciones de IAM de Dataproc Metastore.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
  2. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Obtén información sobre cómo verificar si la facturación está habilitada en un proyecto.

  4. Habilita la API de Dataproc Metastore.

    Habilita la API

  5. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  6. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Obtén información sobre cómo verificar si la facturación está habilitada en un proyecto.

  7. Habilita la API de Dataproc Metastore.

    Habilita la API

Funciones requeridas

Debes tener la función de IAM básica roles/owner (propietario) en el proyecto de Cloud que usas o una función que otorgue estos permisos:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Para obtener estos permisos y seguir el principio de privilegio mínimo, pídele a tu administrador que te otorgue la función roles/resourcemanager.projectIamAdmin (Administrador de IAM del proyecto).

Cómo otorgar funciones de acceso

gcloud

Para usar la CLI de gcloud, puedes instalar y, luego, inicializar Google Cloud CLI, o puedes usar Cloud Shell.

Ejecuta el siguiente comando de add-iam-policy-binding para otorgar una función predefinida de Dataproc Metastore a una principal de IAM (cuenta de usuario o cuenta de servicio).

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto al que deseas habilitar el acceso a Metastore
  • PRINCIPAL: El tipo y el ID de correo electrónico (dirección de correo electrónico) de la principal.
    • Para cuentas de usuario: usuario:EMAIL_ID
    • Para cuentas de servicio: serviceAccount:EMAIL_ID
    • Para Grupos de Google: grupo:EMAIL_ID
  • METASTORE_ROLE: Es uno de los siguientes valores, según la función que desees otorgar a la principal: roles/metastore.editor o roles/metastore.admin. Para obtener detalles sobre los permisos que otorgan estas funciones, consulta Funciones de IAM de Dataproc Metastore.