Standardmäßig haben alle Google Cloud-Projekte nur einen Nutzer: den ursprünglichen Projektersteller. Bis ein Nutzer als Projektmitglied hinzugefügt oder an eine bestimmte Ressource gebunden wird, hat kein anderer Nutzer Zugriff auf das Projekt und damit auf Dataproc Metastore-Ressourcen.
Auf dieser Seite wird erklärt, wie Sie Ihrem Projekt neue Nutzer hinzufügen und wie Sie die Zugriffssteuerung für Ihre Dataproc Metastore-Ressourcen festlegen.
Was ist IAM?
Google Cloud bietet mit der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) die Möglichkeit, bestimmten Google Cloud-Ressourcen detaillierte Zugriffsrechte zuzuweisen und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Durch IAM können Sie das Prinzip der geringsten Berechtigung anwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen gewähren.
Durch das Festlegen von IAM-Richtlinien können Sie steuern, wer (Identität) welche (Rollen) Berechtigungen für welche Ressourcen hat. Durch IAM-Richtlinien werden einem Projektmitglied bestimmte Rollen zugewiesen, wodurch die Identität bestimmte Berechtigungen erhält. Für eine bestimmte Ressource, z. B. ein Projekt, können Sie einem Google-Konto die Rolle roles/metastore.admin zuweisen. Dieses Konto kann dann Dataproc Metastore-Ressourcen im Projekt steuern, jedoch keine anderen Ressourcen verwalten. Mit IAM können Sie außerdem die grundlegenden Rollen von Projektteammitgliedern verwalten.
Zugriffssteuerungsoptionen für Nutzer
Um Nutzern die Möglichkeit zu geben, Ihre Dataproc Metastore-Ressourcen zu erstellen und zu verwalten, können Sie Nutzer als Teammitglieder zu Ihrem Projekt oder zu bestimmten Ressourcen hinzufügen und ihnen Berechtigungen mithilfe von IAM-Rollen erteilen.
Teammitglieder können einzelne Nutzer mit gültigem Google-Konto sowie Google-Gruppen, Dienstkonten oder Google Workspace-Domains sein. Wenn Sie einem Projekt oder einer Ressource ein Teammitglied hinzufügen, geben Sie an, welche Rollen Sie dem Mitglied zuweisen möchten. IAM bietet drei Arten von Rollen: vordefinierte Rollen, einfache Rollen und benutzerdefinierte Rollen.
Eine Liste der Funktionen jeder Dataproc Metastore-Rolle und der API-Methoden, für die eine bestimmte Rolle Berechtigungen gewährt, finden Sie unter Dataproc Metastore-IAM-Rollen.
Informationen zu anderen Mitgliedstypen wie Dienstkonten und Gruppen finden Sie in der Referenz zur Richtlinienbindung.
Dienstkonten
Wenn Sie Dataproc Metastore APIs aufrufen, um Aktionen in einem Projekt auszuführen, in dem sich Ihr Dienst befindet, führt Dataproc Metastore diese Aktionen in Ihrem Namen aus. Dabei wird ein Dienst-Agent-Dienstkonto verwendet, das die erforderlichen Berechtigungen zum Ausführen der Aktionen hat.
Die folgenden Dienstkonten haben die erforderlichen Berechtigungen zum Ausführen von Dataproc Metastore-Aktionen in dem Projekt, in dem sich Ihr Dienst befindet:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com.
IAM-Richtlinien für Ressourcen
Sie können den Zugriff auf Dataproc Metastore-Ressourcen gewähren, indem Sie IAM-Richtlinien direkt an diese Ressourcen anhängen, z. B. an einen Dataproc Metastore-Dienst. Mit einer IAM-Richtlinie können Sie IAM-Rollen auf diesen Ressourcen anstatt oder zusätzlich zur Rollenverwaltung auf Projektebene verwalten. So können Sie den Grundsatz der geringsten Berechtigung flexibel anwenden. Hierbei gewähren Sie Zugriff nur auf bestimmte Ressourcen, die Mitbearbeiter für ihre Arbeit benötigen.
Ressourcen erben auch die Richtlinien der ihnen übergeordneten Ressourcen. Wenn Sie auf Projektebene eine Richtlinie festlegen, wird sie von allen untergeordneten Ressourcen übernommen. Die geltende Richtlinie für eine Ressource ist die Kombination aus der für diese Ressource festgelegten Richtlinie und der Richtlinie, die von weiter oben in der Hierarchie übernommen wird. Weitere Informationen finden Sie unter IAM-Richtlinienhierarchie.
Sie können IAM-Richtlinien mithilfe der Google Cloud Console, der IAM API oder der Google Cloud CLI abrufen und festlegen.
- Weitere Informationen zur Google Cloud Console finden Sie unter Zugriffssteuerung über die Google Cloud Console.
- Für die API siehe Zugriffssteuerung über die API
- Weitere Informationen zur Google Cloud CLI finden Sie unter Zugriffssteuerung über die Google Cloud CLI.
Nächste Schritte
- Detaillierten Zugriff auf Metadaten bei Verwendung von gRPC gewähren
- Weitere Informationen zu IAM-Rollen
- Übersicht über IAM-Berechtigungen
- Richtlinien auf Projektebene festlegen