Dataproc Metastore: controlo de acesso com a IAM

Por predefinição, todos os Google Cloud projetos incluem um único utilizador, o criador original do projeto. Nenhum outro utilizador tem acesso ao projeto e, por isso, acesso aos recursos do Dataproc Metastore, até que um utilizador seja adicionado como membro do projeto ou esteja associado a um recurso específico.

Esta página explica as formas como pode adicionar novos utilizadores ao seu projeto e como definir o controlo de acesso para os seus recursos do Dataproc Metastore.

O que é a IAM?

Google Cloud oferece a gestão de identidade e de acesso (IAM), que lhe permite conceder acesso mais detalhado a recursos Google Cloud específicos e impede o acesso indesejado a outros recursos. O IAM permite-lhe adotar o princípio de segurança do menor privilégio, pelo que concede apenas o acesso necessário aos seus recursos.

O IAM também lhe permite controlar quem (identidade) tem que (funções) autorização para que recursos através da definição de políticas de IAM. As políticas de IAM concedem funções específicas a um membro do projeto, atribuindo à identidade determinadas autorizações. Por exemplo, para um determinado recurso, como um projeto, pode atribuir a função roles/metastore.admin a uma Conta Google e essa conta pode controlar os recursos do Dataproc Metastore no projeto, mas não pode gerir outros recursos. Também pode usar o IAM para gerir as funções básicas concedidas aos membros da equipa do projeto.

Opções de controlo de acesso para utilizadores

Para dar aos utilizadores a capacidade de criar e gerir os seus recursos do Dataproc Metastore, pode adicioná-los como membros da equipa ao seu projeto ou a recursos específicos e conceder-lhes autorizações através de funções do IAM.

Um membro da equipa pode ser um utilizador individual com uma Conta Google válida, um grupo Google, uma conta de serviço ou um domínio do Google Workspace. Quando adiciona um membro da equipa a um projeto ou a um recurso, especifica as funções que lhe quer atribuir. O IAM oferece três tipos de funções: funções predefinidas, funções básicas e funções personalizadas.

Para ver uma lista das capacidades de cada função do Dataproc Metastore e dos métodos da API aos quais uma função específica concede autorização, reveja as funções de IAM do Dataproc Metastore.

Para outros tipos de membros, como contas de serviço e grupos, consulte a referência de associação de políticas.

Contas de serviço

Quando chama as APIs Dataproc Metastore para realizar ações num projeto onde o seu serviço está localizado, o Dataproc Metastore realiza estas ações em seu nome através de uma conta de serviço de agente de serviço que tem as autorizações necessárias para realizar as ações.

As seguintes contas de serviço têm as autorizações necessárias para realizar ações do Dataproc Metastore no projeto onde o seu serviço está localizado:

  • service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com.

Políticas IAM para recursos

Pode conceder acesso a recursos do Dataproc Metastore associando políticas de IAM diretamente a esses recursos, como um serviço do Dataproc Metastore. Uma política de IAM permite-lhe gerir funções de IAM nesses recursos, em vez de, ou além de, gerir funções ao nível do projeto. Isto dá-lhe flexibilidade para aplicar o princípio do menor privilégio, que consiste em conceder acesso apenas aos recursos específicos de que os colaboradores precisam para fazer o seu trabalho.

Os recursos também herdam as políticas dos respetivos recursos principais. Se definir uma política ao nível do projeto, esta é herdada por todos os respetivos recursos secundários. A política em vigor para um recurso é a união da política definida nesse recurso e da política herdada de um nível superior na hierarquia. Para mais informações, leia acerca da hierarquia de políticas de IAM.

Pode obter e definir políticas de IAM através da Google Cloud consola, da API IAM ou da CLI Google Cloud.

O que se segue?