Concedi agli utenti i ruoli IAM di base di Dataproc Metastore

Questa pagina descrive come concedere a un account utente Google Cloud o un account di servizio l'accesso alle risorse di base di Dataproc Metastore in un progetto. Questi ruoli descritti in questa pagina forniscono l'accesso per creare un servizio Dataproc Metastore.

A seconda dell'ambito di controllo che vuoi concedere all'account, puoi assegnargli uno di questi ruoli IAM predefiniti:

  • roles/metastore.editor per concedere il controllo completo delle risorse Dataproc Metastore
  • roles/metastore.admin per concedere il controllo completo delle risorse Dataproc Metastore, incluso l'aggiornamento delle autorizzazioni IAM.

Per informazioni dettagliate sulle autorizzazioni IAM specifiche fornite da questi ruoli, vedi Ruoli IAM Metastore Dataproc.

Prima di iniziare

  1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

  2. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  3. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

  4. Attiva l'API Dataproc Metastore.

    Abilita l'API

    5.

  5. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  6. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

  7. Attiva l'API Dataproc Metastore.

    Abilita l'API

    8.

Ruoli obbligatori

Devi avere il ruolo IAM di base roles/owner (Proprietario) nel progetto Cloud che stai utilizzando o un ruolo che concede queste autorizzazioni:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Per ottenere queste autorizzazioni seguendo il principio del privilegio minimo, chiedi all'amministratore di concederti il ruolo roles/resourcemanager.projectIamAdmin (Amministratore IAM progetto).

Come concedere i ruoli di accesso

gcloud

Per utilizzare l'interfaccia a riga di comando gcloud, puoi installare e inizializzare l'interfaccia a riga di comando di Google Cloud oppure utilizzare Cloud Shell.

Esegui il comando add-iam-policy-binding seguente per concedere un ruolo predefinito Dataproc Metastore a un'entità IAM (account utente o account di servizio).

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto per cui vuoi abilitare l'accesso a Metastore.
  • PRINCIPAL: tipo e ID email (indirizzo email) dell'entità.
    • Per gli account utente: utente: EMAIL_ID
    • Per gli account di servizio: serviceAccount:EMAIL_ID
    • Per i gruppi Google: gruppo:EMAIL_ID
  • METASTORE_ROLE: uno dei seguenti valori, a seconda del ruolo che vuoi concedere all'entità: roles/metastore.editor o roles/metastore.admin. Per informazioni dettagliate sulle autorizzazioni concesse da questi ruoli, vedi Ruoli IAM Metastore Dataproc.