Attribuer des rôles IAM Dataproc Metastore de base aux utilisateurs

Cette page explique comment accorder à un compte utilisateur ou à un compte de service Google Cloud l'accès aux ressources Dataproc Metastore de base d'un projet. Ces rôles décrits sur cette page permettent de créer un service Dataproc Metastore.

Selon le champ d'application de votre contrôle, vous devez lui attribuer l'un des rôles IAM prédéfinis suivants:

  • roles/metastore.editor pour exercer un contrôle complet sur les ressources Dataproc Metastore
  • roles/metastore.admin pour accorder un contrôle total sur les ressources Dataproc Metastore, y compris mettre à jour les autorisations IAM.

Pour en savoir plus sur les autorisations IAM spécifiques fournies par ces rôles, consultez Rôles IAM pour Dataproc Metastore.

Avant de commencer

  1. Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
  2. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  3. Assurez-vous que la facturation est activée pour votre projet Cloud. Découvrez comment vérifier si la facturation est activée sur un projet.

  4. Activez l'API Dataproc Metastore

    Activer l'API

  5. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  6. Assurez-vous que la facturation est activée pour votre projet Cloud. Découvrez comment vérifier si la facturation est activée sur un projet.

  7. Activez l'API Dataproc Metastore

    Activer l'API

Rôles requis

Vous devez disposer du rôle IAM de base roles/owner (propriétaire) dans le projet Cloud que vous utilisez, ou d'un rôle qui accorde ces autorisations:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Pour obtenir ces autorisations tout en suivant le principe du moindre privilège, demandez à votre administrateur de vous accorder le rôle roles/resourcemanager.projectIamAdmin (Administrateur IAM de projet).

Attribuer des rôles avec accès

gcloud

Pour utiliser la CLI gcloud, vous pouvez installer et initialiser la CLI Google Cloud. Vous pouvez également utiliser Cloud Shell.

Exécutez la commande add-iam-policy-binding suivante pour attribuer un rôle Dataproc Metastore prédéfini à un compte principal IAM (compte utilisateur ou compte de service).

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet pour lequel vous souhaitez activer l'accès au métastore.
  • PRINCIPAL : type et adresse e-mail (adresse e-mail) du compte principal.
    • Pour les comptes utilisateur: utilisateur:EMAIL_ID
    • Pour les comptes de service: serviceAccount:EMAIL_ID
    • Pour Google Groupes: groupe :EMAIL_ID
  • METASTORE_ROLE : l'une des valeurs suivantes, en fonction du rôle que vous souhaitez attribuer au compte principal : roles/metastore.editor ou roles/metastore.admin. Pour en savoir plus sur les autorisations accordées par ces rôles, consultez Rôles IAM Dataproc Metastore.