Dataproc Metastore: controllo dell'accesso con IAM

Per impostazione predefinita, tutti i progetti Google Cloud sono associati a un singolo utente, il creatore del progetto originale. Nessun altro utente ha accesso al progetto e quindi alle risorse Dataproc Metastore finché un utente non viene aggiunto come membro del progetto o non viene associato a una risorsa specifica.

Questa pagina spiega come aggiungere nuovi utenti al progetto e come impostare controllo dell'accesso per le risorse Dataproc Metastore.

Che cos'è IAM?

Google Cloud offre Identity and Access Management (IAM), che ti consente di fornire un accesso più granulare a risorse Google Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo il livello di accesso necessario per le tue risorse.

IAM ti consente inoltre di controllare chi (identità) ha quale (ruoli) autorizzazione per quali risorse impostando i criteri IAM. I criteri IAM assegnano ruoli specifici a un membro del progetto, concedendo all'identità determinate autorizzazioni. Ad esempio, per una determinata risorsa, ad esempio un progetto, puoi assegnare il ruolo roles/metastore.admin a un Account Google, che può controllare le risorse Dataproc Metastore nel progetto, ma non può gestire altre risorse. Puoi anche utilizzare IAM per gestire i ruoli di base concessi ai membri del team di progetto.

Opzioni di controllo dell'accesso per gli utenti

Per consentire agli utenti di creare e gestire le risorse Dataproc Metastore, puoi aggiungerli come membri del team al progetto o a risorse specifiche e concedere loro le autorizzazioni utilizzando i ruoli IAM.

Un membro del team può essere un singolo utente con un Account Google valido, un gruppo Google, un account di servizio o un dominio Google Workspace. Quando aggiungi un membro del team a un progetto o a una risorsa, specifica i ruoli da concedergli. IAM fornisce tre tipi di ruoli: predefiniti, di base e personalizzati.

Per visualizzare un elenco delle funzionalità di ogni ruolo Dataproc Metastore e dei metodi dell'API a cui un ruolo specifico concede l'autorizzazione, consulta Ruoli IAM di Dataproc Metastore.

Per altri tipi di membri, come account di servizio e gruppi, consulta il riferimento per l'associazione di criteri.

Account di servizio

Quando chiami le API Dataproc Metastore per eseguire azioni in un progetto dove si trova il tuo servizio, Dataproc Metastore esegue queste azioni per tuo conto utilizzando un account di servizio Service Agent che dispone delle autorizzazioni necessarie per eseguire le azioni.

I seguenti account di servizio dispongono delle autorizzazioni necessarie per eseguire azioni di Dataproc Metastore nel progetto in cui si trova il servizio:

  • service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com.

Criteri IAM per le risorse

Puoi concedere l'accesso alle risorse Dataproc Metastore collegando i criteri IAM direttamente a queste risorse, ad esempio un servizio Dataproc Metastore. Un criterio IAM consente di gestire i ruoli IAM su queste risorse anziché, o in aggiunta a, gestire i ruoli a livello di progetto. In questo modo, hai la flessibilità di applicare il principio del privilegio minimo, ovvero concedere l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per svolgere il proprio lavoro.

Le risorse ereditano anche i criteri delle risorse di primo livello. Se imposti un'impostazione a livello di progetto, questa viene ereditata da tutte le risorse figlio. Il criterio applicato a una risorsa è dato dall'unione del criterio impostato per quella risorsa e del criterio ereditato dal livello superiore della gerarchia. Per ulteriori informazioni, consulta la gerarchia dei criteri IAM.

Puoi ottenere e impostare i criteri IAM utilizzando la console Google Cloud, l'API IAM o Google Cloud CLI.

Passaggi successivi