Dataproc Metastore: Control de acceso con la IAM

De forma predeterminada, todos los proyectos de Google Cloud incluyen un solo usuario, es decir, el creador original del proyecto. Ningún otro usuario tiene acceso al proyecto y, por lo tanto, tampoco puede acceder a recursos de Dataproc Metastore hasta que se lo agregue como miembro del proyecto o se lo vincule a un recurso específico.

En esta página, se explica cómo agregar usuarios nuevos al proyecto y cómo establecer el control de acceso para los recursos de Dataproc Metastore.

¿Qué es IAM?

Google Cloud ofrece la Identity and Access Management (IAM), que te permite brindar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgas el acceso necesario a tus recursos.

IAM te permite controlar quién (identidad) tiene qué (funciones) permisos sobre qué recursos mediante la configuración de políticas de IAM. Las políticas de IAM otorgan funciones específicas a un miembro del proyecto y le otorgan ciertos permisos a la identidad. Por ejemplo, para un recurso determinado, como un proyecto, puedes asignar la función roles/metastore.admin a una Cuenta de Google y esa cuenta puede controlar los recursos de Dataproc Metastore en el proyecto, pero no puede administrar otros recursos. También puedes usar IAM para administrar las funciones básicas otorgadas a los miembros del equipo del proyecto.

Opciones de control de acceso para usuarios

Para otorgar a los usuarios la capacidad de crear y administrar tus recursos de Dataproc Metastore, puedes agregar usuarios como miembros del equipo a tu proyecto o a recursos específicos, y otorgarles permisos mediante funciones de IAM.

Un miembro del equipo puede ser un usuario individual con una Cuenta de Google válida, un Grupo de Google, una cuenta de servicio o un dominio de Google Workspace. Cuando agregas un miembro del equipo a un proyecto o recurso, debes especificar qué funciones le otorgas. IAM proporciona tres tipos de funciones: predefinidas, básicas y personalizadas.

Para ver una lista de las capacidades de cada función de Dataproc Metastore y los métodos de la API a los que otorga permiso una función específica, revisa Funciones de IAM de Dataproc Metastore.

Para otros tipos de miembros, como cuentas de servicio y grupos, consulta la referencia de vinculación de políticas.

Cuentas de servicio

Cuando llamas a las APIs de Dataproc Metastore para realizar acciones en un proyecto en el que se encuentra tu servicio, Dataproc Metastore realiza estas acciones en tu nombre mediante una cuenta de servicio del agente de servicio que tiene los permisos necesarios para realizarlas.

Las siguientes cuentas de servicio tienen los permisos necesarios para realizar acciones de Dataproc Metastore en el proyecto en el que se encuentra el servicio:

  • service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com.

Políticas de IAM para los recursos

Puedes otorgar acceso a los recursos de Dataproc Metastore si adjuntas las políticas de IAM directamente a esos recursos, como un servicio de Dataproc Metastore. Una política de IAM te permite administrar funciones de IAM en esos recursos en lugar de administrar funciones a nivel de proyecto, o además de hacerlo. Esto te brinda flexibilidad para aplicar el principio de privilegios mínimos, que significa otorgar acceso solo a los recursos específicos que los colaboradores necesitan para hacer su trabajo.

Los recursos también heredan las políticas de sus recursos superiores. Si estableces una política a nivel de proyecto, todos sus recursos secundarios la heredan. La política vigente para un recurso es la unión de la política establecida en ese recurso y la política heredada de una jerarquía superior. Para obtener más información, consulta la jerarquía de políticas de IAM.

Puedes obtener y configurar políticas de IAM con la consola de Google Cloud, la API de IAM o Google Cloud CLI.

¿Qué sigue?