Concedi agli utenti i ruoli IAM di base di Dataproc Metastore

In questa pagina viene descritto come concedere a un account utente o a un account di servizio Google Cloud l'accesso alle risorse Dataproc Metastore di base in un progetto. Questi ruoli descritti in questa pagina forniscono l'accesso per creare un servizio Dataproc Metastore.

A seconda dell'ambito di controllo che vuoi assegnare all'account, assegnagli uno dei seguenti ruoli IAM predefiniti:

  • roles/metastore.editor per concedere il controllo completo delle risorse Dataproc Metastore
  • roles/metastore.admin per concedere il controllo completo delle risorse Dataproc Metastore, incluso l'aggiornamento delle autorizzazioni IAM.

Per informazioni dettagliate sulle autorizzazioni IAM specifiche fornite da questi ruoli, vedi Ruoli IAM Metastore Dataproc.

Prima di iniziare

  1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

  2. Nella console di Google Cloud Console, nella pagina del selettore dei progetti, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  3. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

  4. Attiva l'API Dataproc Metastore.

    Abilita l'API

    5.

  5. Nella console di Google Cloud Console, nella pagina del selettore dei progetti, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  6. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

  7. Attiva l'API Dataproc Metastore.

    Abilita l'API

    8.

Ruoli obbligatori

Devi avere il ruolo IAM base roles/owner (Proprietario) nel progetto Google Cloud che stai utilizzando o un ruolo che concede queste autorizzazioni:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Per ottenere queste autorizzazioni seguendo il principio del privilegio minimo, chiedi all'amministratore di concederti il ruolo di roles/resourcemanager.projectIamAdmin (amministratore IAM del progetto).

Come concedere i ruoli di accesso

gcloud

Per utilizzare gcloud CLI, puoi installare e inizializzare Google Cloud CLI oppure Cloud Shell.

Esegui questo comando add-iam-policy-binding per concedere un ruolo predefinito Dataproc Metastore a un'entità IAM (account utente o account di servizio).

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto per cui vuoi abilitare l'accesso a Metastore.
  • PRINCIPAL: tipo e ID email (indirizzo email) dell'entità.
    • Per gli account utente: utente:EMAIL_ID
    • Per gli account di servizio: serviceAccount:EMAIL_ID
    • Per Google Gruppi: gruppo:EMAIL_ID
  • METASTORE_ROLE: uno dei seguenti valori, a seconda del ruolo che vuoi concedere all'entità: roles/metastore.editor o roles/metastore.admin. Per informazioni dettagliate sulle autorizzazioni concesse da questi ruoli, vedi Ruoli IAM di Dataproc Dataproc.