Gestisci l'accesso con IAM

Per impostazione predefinita, tutti i progetti Google Cloud includono un singolo utente, l'autore originale del progetto. Nessun altro utente ha accesso al progetto e, di conseguenza, l'accesso alle risorse Dataproc Metastore, finché un utente non viene aggiunto come membro del progetto o non è associato a una risorsa specifica.

Questa pagina spiega i modi in cui puoi aggiungere nuovi utenti al tuo progetto e come impostare il controllo dell'accesso per le tue risorse Dataproc Metastore.

Che cos'è IAM?

Google Cloud offre Identity and Access Management (IAM), che ti consente di concedere un accesso più granulare a risorse specifiche di Google Cloud e di impedire l'accesso indesiderato ad altre risorse. IAM consente di adottare il principio di sicurezza del privilegio minimo, per cui concedi solo l'accesso necessario alle risorse.

IAM consente inoltre di controllare chi (identità) dispone di autorizzazioni (ruoli) a quali risorse impostando i criteri IAM. I criteri IAM concedono uno o più ruoli specifici a un membro del progetto, concedendo all'identità determinate autorizzazioni. Ad esempio, per una determinata risorsa, come un progetto, puoi assegnare il ruolo roles/metastore.admin a un Account Google e tale account può controllare le risorse Dataproc Metastore nel progetto, ma non può gestire altre risorse. Puoi anche utilizzare IAM per gestire i ruoli di base concessi ai membri dei team di progetto.

Opzioni di controllo dell'accesso per gli utenti

Per offrire agli utenti la possibilità di creare e gestire le tue risorse Dataproc Metastore, puoi aggiungerle come membri del team al tuo progetto o a specifiche risorse e concedere loro le autorizzazioni utilizzando i ruoli IAM.

Un membro del team può essere un singolo utente con un Account Google, un Gruppo Google, un account di servizio o un dominio Google Workspace valido. Quando aggiungi un membro del team a un progetto o a una risorsa, devi specificare i ruoli da concedere. IAM fornisce tre tipi di ruoli: ruoli predefiniti, ruoli di base e ruoli personalizzati.

Per un elenco delle funzionalità di ogni ruolo API Dataproc Metastore e dei metodi API a cui un ruolo specifico concede l'autorizzazione, consulta la pagina Ruoli IAM di Dataproc Metastore.

Per altri tipi di membri, ad esempio account di servizio e gruppi, consulta il riferimento per associazione dei criteri.

Account di servizio

Quando chiami le API Dataproc Metastore per eseguire azioni in un progetto in cui si trova il tuo servizio, Dataproc Metastore esegue queste azioni per tuo conto utilizzando un account di servizio che dispone delle autorizzazioni necessarie per eseguire le azioni. Gli account di servizio elencati di seguito dispongono delle autorizzazioni necessarie per eseguire azioni Dataproc Metastore nel progetto in cui si trova il servizio:

  • service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com.

Criteri IAM per le risorse

Puoi concedere l'accesso alle risorse Dataproc Metastore collegando i criteri IAM direttamente a tali risorse, come un servizio Dataproc Metastore. Un criterio IAM consente di gestire i ruoli IAM su tali risorse anziché, o in aggiunta, alla gestione dei ruoli a livello di progetto. Questo ti offre la flessibilità di applicare il principio del privilegio minimo, ovvero permettere l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per svolgere il loro lavoro.

Anche le risorse ereditano i criteri delle risorse principali. Se imposti un criterio a livello di progetto, questo viene ereditato da tutte le relative risorse figlio. Il criterio applicato a una risorsa è dato dall'unione del criterio impostato per quella risorsa più il criterio ereditato dal livello più alto della gerarchia. Per ulteriori informazioni, consulta la gerarchia di criteri IAM.

Puoi ottenere e impostare i criteri IAM utilizzando Google Cloud Console, l'API IAM o l'interfaccia a riga di comando di Google Cloud.

Passaggi successivi