Por padrão, todos os projetos do Google Cloud vêm com um único usuário: o criador do projeto original. Nenhum outro usuário tem acesso ao projeto e aos os recursos do Compute Engine até que um usuário seja adicionado como membro do projeto ou esteja vinculado a um recurso específico.
Nesta página, mostramos como adicionar novos usuários a um projeto e definir o controle de acesso dos recursos do Compute Engine.
O que é IAM?
O Google Cloud oferece o gerenciamento de identidade e acesso (IAM), que permite a concessão de acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de segurança do menor privilégio (em inglês) para conceder apenas o acesso necessário aos recursos.
O IAM permite controlar quem (identidade) tem qual (papéis) permissão para quais recursos. Basta definir as políticas. As políticas do IAM concedem papéis específicos a um membro do projeto, à identidade algumas permissões. Por exemplo, é possível atribuir o papel roles/metastore.admin
a uma Conta do Google e ela poderá controlar recursos do metastore do Dataproc no projeto, mas não poderá gerenciar outros recursos. Também é possível usar o IAM para gerenciar os papéis básicos concedidos aos membros da equipe do projeto.
Opções de controle de acesso para usuários
Para oferecer aos usuários a capacidade de criar e gerenciar os recursos do metastore do Dataproc, você pode adicionar usuários comomembros da equipe para o projeto ou para recursos específicos e conceder a eles permissões usando o IAMpapéis.
Um membro da equipe pode ser um usuário individual com uma Conta do Google válida, um Grupo do Google, uma conta de serviço ou um domínio do Google Workspace. Quando você adiciona um membro da equipe a um projeto ou a um recurso, especifica quais papéis precisam ser concedidos. O IAM oferece três tipos de papéis: predefinidos, básicos e personalizados.
Para ver uma lista de recursos de cada papel do metastore do Dataproc e métodos de API aos quais um papel específico concede permissão, consulte a documentação sobre Papéis do IAM do metastore do Dataproc.
Para outros tipos de membros, como contas de serviço e grupos, consulte a Referência de vinculação de políticas.
Contas de serviço
Quando você chama as APIs do metastore do Dataproc para executar ações em um projeto em que o serviço está localizado, o Metastore do Dataproc executa essas ações em seu nome usando uma conta de serviço do agente de serviço que tenha as permissões necessárias para executar as ações.
As contas de serviço a seguir têm as permissões necessárias para executar ações do metastore do Dataproc no projeto em que o serviço está localizado:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com
Políticas de IAM para recursos
É possível conceder acesso aos recursos do metastore do Dataproc anexando políticas do IAM diretamente a esses recursos, como um serviço do metastore do Dataproc. Uma política do IAM permite gerenciar os papéis do IAM nesses recursos, em vez de ou além de gerenciar papéis no nível do projeto. Isso dá a você flexibilidade para aplicar o princípio do menor privilégio, que é conceder acesso somente aos recursos específicos que os colaboradores precisam para realizar o trabalho.
Os recursos também herdam as políticas do pai. Se você definir uma política no nível do projeto, ela será herdada por todos os recursos filhos. A política efetiva para um recurso é a união do conjunto de políticas nesse recurso e a política herdada do recurso mais alto na hierarquia. Para mais informações, leia sobre a hierarquia de políticas do IAM.
É possível receber e definir políticas do IAM usando o Console do Google Cloud, a API IAM ou a CLI do Google Cloud.
- Para o console do Google Cloud, consulte Controle de acesso por meio do console do Google Cloud.
- Para a API, consulte Controle de acesso via API.
- Para a Google Cloud CLI, consulte Controle de acesso pela Google Cloud CLI.
A seguir
- Saiba como conceder acesso detalhado a metadados ao usar o gRPC
- Saiba mais sobre os papéis do IAM.
- Saiba mais sobre as permissões do IAM.
- Saiba como definir políticas no nível do projeto.