本頁面由 Cloud Translation API 翻譯而成。

Dataproc Metastore：使用 IAM 控管存取權

根據預設，所有 Google Cloud 專案都只有一位使用者，也就是原始專案建立者。除非使用者成為專案團隊成員或連結至特定資源，否則不能存取專案，因此也無法存取其中的 Dataproc Metastore 資源。

本頁面說明如何在專案中新增使用者，以及如何為 Dataproc Metastore 資源調整存取權控制設定。

什麼是 IAM？

Google Cloud 提供身分與存取權管理 (IAM) 功能，可讓您以更精細的方式授予特定 Google Cloud 資源的存取權，避免其他資源遭到未經授權者擅自存取。IAM 能讓您採用最低權限安全性原則，僅授予必要的資源存取權限給使用者。

您也可以設定 IAM 政策，控管哪些身分具備哪些資源的哪些權限 (角色)。身分與存取權管理政策可將特定角色授予專案成員，讓對方擁有特定權限。舉例來說，您可以將某個特定資源 (例如專案) 的 roles/metastore.admin 角色指派給一個 Google 帳戶，該帳戶即可控管專案中的 Dataproc Metastore 資源，但無法管理其他資源。您也可以使用 IAM 管理授予專案團隊成員的基本角色。

使用者的存取權控制選項

如要讓使用者建立和管理 Dataproc Metastore 資源，您可以將使用者新增為專案或特定資源的團隊成員，並使用 IAM 角色來授予權限。

團隊成員可以是具備有效 Google 帳戶的個別使用者、Google 群組、服務帳戶或 Google Workspace 網域。新增專案或資源團隊成員時，您必須指定要授予他們的角色。 IAM 提供三種角色類型：預先定義的角色、基本角色和自訂角色。

如要查看每個 Dataproc Metastore 角色的功能清單，以及特定角色可授予權限的 API 方法，請參閱「Dataproc Metastore IAM 角色」。

如需服務帳戶和群組等其他成員類型的相關資訊，請參閱政策繫結參考資料。

服務帳戶

當您呼叫 Dataproc Metastore API，在服務所在的專案中執行動作時，Dataproc Metastore 會使用具有必要權限的服務代理程式服務帳戶，代您執行這些動作。

以下列出具有必要權限，能在服務所在的專案中執行 Dataproc Metastore 動作的服務帳戶：

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com。

注意： 如果提供非預設的倉庫目錄，您可能需要為這個服務帳戶授予 storage.objectAdmin 角色，Dataproc Metastore 服務才能存取 Hive metastore 倉庫目錄。詳情請參閱「Hive Metastore」。

資源的 IAM 政策

您可以將 IAM 政策直接連結至 Dataproc Metastore 資源 (例如 Dataproc Metastore 服務)，藉此授予存取權。IAM 政策可讓您管理這些資源上的 IAM 角色，而不是在專案層級管理角色。這樣一來，您就能透過更靈活的方式來落實最小權限原則；例如將協作者的權限侷限在工作需要的資源上。

資源同時也會繼承父項資源的政策。如果您在專案層級設定政策，該層級的所有子項資源都會繼承這項政策。會對資源發揮作用的政策，除了在資源層級設定的政策外，還包括資源從上層階級繼承的政策。詳情請參閱 IAM 政策階層。

您可以使用 Google Cloud 控制台、IAM API 或 Google Cloud CLI 取得及設定 IAM 政策。

如要使用 Google Cloud 控制台，請參閱透過 Google Cloud 控制台控管存取權。
如要使用 API，請參閱透過 API 控管存取權的說明。
如要使用 Google Cloud CLI，請參閱透過 Google Cloud CLI 控管存取權。

後續步驟

瞭解如何在使用 gRPC 時授予中繼資料的精細存取權
進一步瞭解 IAM 角色。
進一步瞭解 IAM 權限。
瞭解如何在專案層級設定政策。