Dataproc Metastore: Kontrol akses dengan IAM

Secara default, semua project Google Cloud dilengkapi dengan satu pengguna, pembuat project asli. Tidak ada pengguna lain yang memiliki akses ke project, sehingga akses ke resource Dataproc Metastore, sampai pengguna ditambahkan sebagai anggota project atau terikat dengan resource tertentu.

Halaman ini menjelaskan cara menambahkan pengguna baru ke project dan cara menyetel kontrol akses untuk resource Dataproc Metastore.

Apa yang dimaksud dengan IAM?

Google Cloud menawarkan Identity and Access Management (IAM), yang memungkinkan Anda memberikan akses yang lebih terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip hak istimewa terendah untuk keamanan, jadi Anda hanya memberikan akses yang diperlukan ke resource Anda.

Dengan IAM, Anda dapat mengontrol siapa (identitas) yang memiliki izin (peran) pada resource tertentu dengan menetapkan kebijakan IAM. Kebijakan IAM memberikan peran tertentu kepada anggota project, dengan memberikan izin tertentu untuk identitas. Misalnya, untuk resource tertentu, seperti project, Anda dapat menetapkan peran roles/metastore.admin ke Akun Google dan akun tersebut dapat mengontrol resource Dataproc Metastore dalam project, tetapi tidak dapat mengelola resource lainnya. Anda juga dapat menggunakan IAM untuk mengelola peran dasar yang diberikan kepada anggota tim proyek.

Opsi kontrol akses untuk pengguna

Agar pengguna dapat membuat dan mengelola resource Dataproc Metastore, Anda dapat menambahkan pengguna sebagai anggota tim ke project Anda atau ke resource tertentu dan memberi mereka izin menggunakan peran IAM.

Anggota tim dapat berupa pengguna perorangan dengan Akun Google yang valid, Google Grup, akun layanan, atau domain Google Workspace. Saat menambahkan anggota tim ke sebuah project atau resource, Anda menentukan peran yang akan diberikan kepada mereka. IAM menyediakan tiga jenis peran: peran bawaan, peran dasar, dan peran khusus.

Untuk melihat daftar kemampuan setiap peran Dataproc Metastore dan metode API yang diberi izin oleh peran tertentu, tinjau peran IAM Dataproc Metastore.

Untuk jenis anggota lainnya, seperti akun layanan dan grup, lihat Referensi binding kebijakan.

Akun layanan

Saat Anda memanggil Dataproc Metastore API untuk melakukan tindakan dalam project tempat layanan Anda berada, Dataproc Metastore akan melakukan tindakan ini untuk Anda menggunakan akun layanan Agen Layanan yang memiliki izin yang diperlukan untuk melakukan tindakan tersebut.

Akun layanan berikut memiliki izin yang diperlukan untuk melakukan tindakan Dataproc Metastore dalam project tempat layanan Anda berada:

  • service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com.

Kebijakan IAM untuk resource

Anda dapat memberikan akses ke resource Dataproc Metastore dengan melampirkan kebijakan IAM langsung ke resource tersebut, seperti layanan Dataproc Metastore. Kebijakan IAM memungkinkan Anda mengelola peran IAM pada resource tersebut, bukan mengelola atau sebagai tambahan untuk mengelola peran di level project. Hal ini memberi Anda fleksibilitas untuk menerapkan prinsip hak istimewa terendah, yaitu memberikan akses hanya ke resource tertentu yang diperlukan kolaborator untuk melakukan pekerjaan mereka.

Resource juga mewarisi kebijakan resource induknya. Jika Anda menetapkan kebijakan di level project, kebijakan tersebut akan diwarisi oleh semua resource turunannya. Kebijakan yang efektif untuk suatu resource adalah gabungan kebijakan yang ditetapkan pada resource tersebut dan kebijakan yang diwariskan dari posisi yang lebih tinggi dalam hierarki. Untuk mengetahui informasi lebih lanjut, baca artikel tentang hierarki kebijakan IAM.

Anda dapat memperoleh dan menetapkan kebijakan IAM menggunakan Konsol Google Cloud, IAM API, atau Google Cloud CLI.

Langkah selanjutnya