Conceder papéis básicos do IAM do metastore do Dataproc aos usuários

Nesta página, descrevemos como conceder a uma conta de usuário ou de serviço do Google Cloud acesso a recursos básicos do metastore do Dataproc em um projeto. Os papéis descritos nesta página oferecem acesso para criar um serviço do metastore do Dataproc.

Dependendo do escopo de controle que você quer que a conta tenha, conceda a ela um destes papéis predefinidos do IAM:

  • roles/metastore.editor para conceder controle total dos recursos do metastore do Dataproc
  • roles/metastore.admin para conceder controle total dos recursos do Dataproc Metastore, incluindo a atualização das permissões do IAM.

Para informações detalhadas sobre as permissões específicas do IAM que esses papéis concedem, consulte Papéis do IAM do Dataproc Metastore.

Antes de começar

  1. Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
  2. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  3. Verifique se o faturamento está ativado para seu projeto na nuvem. Saiba como verificar se o faturamento está ativado em um projeto.

  4. Ative a API Dataproc Metastore.

    Ative a API

  5. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  6. Verifique se o faturamento está ativado para seu projeto na nuvem. Saiba como verificar se o faturamento está ativado em um projeto.

  7. Ative a API Dataproc Metastore.

    Ative a API

Papéis necessários

Você precisa ter o papel básico de roles/owner (proprietário) no IAM do projeto do Cloud ou um papel que conceda essas permissões:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Para receber essas permissões seguindo o princípio de privilégio mínimo, peça ao administrador para conceder a você o papel roles/resourcemanager.projectIamAdmin (Administrador de IAM do projeto).

Como conceder papéis de acesso

gcloud

Para usar a CLI gcloud, é possível instalar e inicializar a CLI do Google Cloud ou usar o Cloud Shell.

Execute o comando add-iam-policy-binding a seguir para conceder um papel predefinido do Dataproc Metastore a um principal do IAM (conta de usuário ou conta de serviço).

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

Substitua:

  • PROJECT_ID: o ID do projeto em que você quer ativar o acesso do Metastore.
  • PRINCIPAL: o tipo e o ID de e-mail (endereço de e-mail) do principal.
    • Para contas de usuário: EMAIL_ID
    • Para contas de serviço: serviceAccount:EMAIL_ID
    • Para o Grupos do Google: grupo:EMAIL_ID
  • METASTORE_ROLE: um dos seguintes valores, dependendo do papel que você quer conceder ao principal: roles/metastore.editor ou roles/metastore.admin. Para mais detalhes sobre as permissões que esses papéis concedem, consulte Papéis do IAM do Dataproc Metastore.