Concedi ruoli IAM di base di Dataproc Metastore agli utenti

Questa pagina descrive come concedere a un account utente Google Cloud o a un account di servizio l'accesso alle risorse di base Dataproc Metastore in un progetto. Questi ruoli descritti in questa pagina forniscono l'accesso per creare un servizio Dataproc Metastore.

A seconda dell'ambito di controllo che vuoi concedere all'account, puoi assegnare uno di questi ruoli IAM predefiniti:

  • roles/metastore.editor per concedere il controllo completo delle risorse Dataproc Metastore
  • roles/metastore.admin per concedere il controllo completo delle risorse Dataproc Metastore, incluso l'aggiornamento delle autorizzazioni IAM.

Per informazioni dettagliate sulle autorizzazioni IAM specifiche fornite da questi ruoli, consulta Ruoli IAM di Dataproc Metastore.

Prima di iniziare

  1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

  2. Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  3. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

  4. Attiva l'API Dataproc Metastore.

    Abilita l'API

    5.

  5. Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  6. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

  7. Attiva l'API Dataproc Metastore.

    Abilita l'API

    8.

Ruoli obbligatori

Devi disporre del ruolo IAM di base roles/owner (proprietario) nel progetto Google Cloud che stai utilizzando oppure di un ruolo che conceda queste autorizzazioni:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Per ottenere queste autorizzazioni rispettando il principio del privilegio minimo, chiedi all'amministratore di concederti il ruolo roles/resourcemanager.projectIamAdmin (Amministratore IAM progetto).

Come concedere i ruoli di accesso

gcloud

Per utilizzare gcloud CLI, puoi installare e inizializzare Google Cloud CLI oppure utilizzare Cloud Shell.

Esegui il comando add-iam-policy-binding seguente per concedere un ruolo predefinito Dataproc Metastore a un'entità IAM (account utente o account di servizio).

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto per cui vuoi abilitare l'accesso a Metastore.
  • PRINCIPAL: il tipo e l'ID email (indirizzo email) dell'entità.
    • Per gli account utente: utente:EMAIL_ID
    • Per gli account di servizio: serviceAccount:EMAIL_ID
    • Per Google Gruppi: gruppo:EMAIL_ID
  • METASTORE_ROLE: uno dei seguenti valori, a seconda del ruolo che vuoi concedere all'entità: roles/metastore.editor o roles/metastore.admin. Per maggiori dettagli sulle autorizzazioni concesse da questi ruoli, vedi Ruoli IAM di Dataproc Metastore.