Dataproc Metastore: controllo dell'accesso con IAM

Per impostazione predefinita, tutti i progetti Google Cloud includono un solo utente, l'autore del progetto originale. Nessun altro utente ha accesso al progetto e quindi alle risorse Dataproc Metastore finché un utente non viene aggiunto come membro del progetto o non viene associato a una risorsa specifica.

Questa pagina spiega come aggiungere nuovi utenti al progetto e come impostare il controllo degli accessi per le risorse Dataproc Metastore.

Che cos'è IAM?

Google Cloud offre Identity and Access Management (IAM), che consente di fornire un accesso più granulare a specifiche risorse Google Cloud ed evitare l'accesso indesiderato ad altre risorse. IAM consente di adottare principio di sicurezza del privilegio minimo, in modo da concedere solo l'accesso necessario alle tue risorse.

IAM ti consente anche di controllare chi (identità) ha quale (ruoli) autorizzazione per quali risorse impostando i criteri IAM. I criteri IAM assegnano ruoli specifici a un membro del progetto, concedendo all'identità determinate autorizzazioni. Ad esempio, per una determinata risorsa, come un progetto, puoi assegnare il ruolo roles/metastore.admin a un Account Google e quell'account potrà controllare le risorse Dataproc Metastore nel progetto, ma non e gestire altre risorse. Puoi anche utilizzare IAM per gestire i ruoli di base concessi ai membri del team di progetto.

Opzioni di controllo dell'accesso per gli utenti

offrire agli utenti la possibilità di creare e gestire Dataproc Metastore di risorse, puoi aggiungere utenti al tuo progetto come membri del team o a indirizzi delle risorse e concedere loro le autorizzazioni utilizzando i ruoli IAM.

Un membro del team può essere un singolo utente con un Account Google valido, un account Gruppo, account di servizio o dominio Google Workspace. Quando aggiungi un team a un progetto o a una risorsa, devi specificare i ruoli da concedere. IAM offre tre tipi di ruoli: ruoli predefiniti, ruoli di base e ruoli personalizzati.

Per visualizzare un elenco delle funzionalità di ogni ruolo Dataproc Metastore e dei metodi dell'API a cui un ruolo specifico concede l'autorizzazione, consulta Ruoli IAM di Dataproc Metastore.

Per altri tipi di membri, ad esempio account di servizio e gruppi, fai riferimento alle Norme riferimento vincolante.

Account di servizio

Quando chiami le API Dataproc Metastore per eseguire azioni in un progetto in cui si trova il servizio, Dataproc Metastore esegue queste azioni per tuo conto utilizzando un account di servizio dell'agente di servizio che dispone delle autorizzazioni necessarie per eseguire le azioni.

I seguenti account di servizio dispongono delle autorizzazioni necessarie per eseguire azioni di Dataproc Metastore nel progetto in cui si trova il servizio:

  • service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com.

Criteri IAM per le risorse

Puoi concedere l'accesso alle risorse Dataproc Metastore collegando i criteri IAM direttamente a queste risorse, ad esempio un servizio Dataproc Metastore. Un account IAM consente di gestire i ruoli IAM su quelle risorse anziché gestire i ruoli a livello di progetto o in aggiunta a questi ultimi. In questo modo, hai la flessibilità di applicare il principio del privilegio minimo, ovvero concedere l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per svolgere il proprio lavoro.

Le risorse ereditano anche i criteri delle risorse di primo livello. Se imposti un'impostazione a livello di progetto, questa viene ereditata da tutte le risorse figlio. La il criterio effettivo per una risorsa è l'unione del criterio impostato per quella risorsa e il criterio ereditato dai livelli superiori nella gerarchia. Per ulteriori informazioni, consulta la gerarchia dei criteri IAM.

Puoi ottenere e impostare i criteri IAM utilizzando la console Google Cloud, l'API IAM o Google Cloud CLI.

Passaggi successivi