Dataproc Metastore: controllo dell'accesso con IAM

Per impostazione predefinita, tutti i progetti Google Cloud hanno un singolo utente, l'autore del progetto originale. Nessun altro utente ha accesso al progetto e, pertanto, alle risorse Dataproc Metastore, finché un utente non viene aggiunto come membro del progetto o è associato a una risorsa specifica.

Questa pagina spiega come aggiungere nuovi utenti al progetto e come impostare il controllo dell'accesso per le risorse Dataproc Metastore.

Che cos'è IAM?

Google Cloud offre Identity and Access Management (IAM), che consente di concedere un accesso più granulare a risorse Google Cloud specifiche e impedire l'accesso indesiderato ad altre risorse. IAM consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo l'accesso necessario alle risorse.

IAM consente inoltre di controllare chi (identità) dispone di quale (ruoli) di quali risorse impostando i criteri IAM. I criteri IAM concedono ruoli specifici a un membro del progetto, concedendo all'identità determinate autorizzazioni. Ad esempio, per una determinata risorsa, come un progetto, puoi assegnare il ruolo roles/metastore.admin a un Account Google, che a sua volta può controllare le risorse Dataproc Metastore nel progetto, ma non può gestirne altre. Puoi anche utilizzare IAM per gestire i ruoli di base concessi ai membri del team di progetto.

Opzioni di controllo dell'accesso per gli utenti

Per consentire agli utenti di creare e gestire le risorse Dataproc Metastore, puoi aggiungere gli utenti come membri del team al progetto o a risorse specifiche e concedere loro le autorizzazioni utilizzando i ruoli IAM.

Un membro del team può essere un singolo utente con un Account Google valido, un gruppo Google, un account di servizio o un dominio Google Workspace. Quando aggiungi un membro del team a un progetto o a una risorsa, specifichi i ruoli da concedere. IAM offre tre tipi di ruoli: ruoli predefiniti, ruoli di base e ruoli personalizzati.

Per visualizzare un elenco delle funzionalità di ogni ruolo di Dataproc Metastore e dei metodi API a cui un ruolo specifico concede l'autorizzazione, consulta i ruoli IAM di Dataproc Metastore.

Per altri tipi di membri, ad esempio account di servizio e gruppi, consulta la sezione Riferimento per l'associazione dei criteri.

Account di servizio

Quando chiami le API Dataproc Metastore per eseguire azioni in un progetto in cui si trova il tuo servizio, Dataproc Metastore esegue queste azioni per tuo conto utilizzando un account di servizio dell'agente di servizio con le autorizzazioni necessarie per eseguire le azioni.

I seguenti account di servizio hanno le autorizzazioni necessarie per eseguire azioni Dataproc Metastore nel progetto in cui si trova il servizio:

  • service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com.

Criteri IAM per le risorse

Puoi concedere l'accesso alle risorse Dataproc Metastore collegando i criteri IAM direttamente a queste risorse, ad esempio un servizio Dataproc Metastore. Un criterio IAM consente di gestire i ruoli IAM su queste risorse anziché, o in aggiunta, gestire i ruoli a livello di progetto. Questo ti offre la flessibilità per applicare il principio del privilegio minimo, che consiste nel concedere l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per svolgere il loro lavoro.

Le risorse ereditano anche i criteri delle risorse padre. Se imposti un criterio a livello di progetto, questo viene ereditato da tutte le relative risorse figlio. Il criterio effettivo per una risorsa è l'unione del criterio impostato a quella risorsa e del criterio ereditato dai livelli superiori nella gerarchia. Per ulteriori informazioni, consulta la gerarchia dei criteri IAM.

Puoi ottenere e impostare i criteri IAM utilizzando la console Google Cloud, l'API IAM o Google Cloud CLI.

Passaggi successivi