Dataproc Metastore definiert mehrere IAM-Rollen (Identity and Access Management). Jede vordefinierte Rolle enthält eine Reihe von IAM-Berechtigungen, mit denen Mitglieder bestimmte Aktionen ausführen können. Wenn Sie ein neues Mitglied in Ihr Projekt aufnehmen, können Sie diesem Mitglied mithilfe einer IAM-Richtlinie eine oder mehrere IAM-Rollen zuweisen.
In der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie außerdem benutzerdefinierte IAM-Rollen erstellen. Sie können benutzerdefinierte IAM-Rollen erstellen und diesen eine oder mehrere Berechtigungen zuweisen. Anschließend können Sie Ihren Mitgliedern die neue Rolle zuweisen. Neben den verfügbaren vordefinierten Rollen können Sie benutzerdefinierte Rollen verwenden, um ein Modell zur Zugriffssteuerung zu erstellen, das auf Ihre Anforderungen zugeschnitten ist.
Auf dieser Seite geht es um die IAM-Rollen, die für Dataproc Metastore relevant sind.
Hinweis
- Lesen Sie die IAM-Dokumentation.
Dataproc Metastore-Rollen
Dataproc Metastore-Rollen in der Identitäts- und Zugriffsverwaltung (IAM) umfassen eine oder mehrere Berechtigungen. Sie weisen den Mitgliedern Rollen zu, damit sie Aktionen mit den Dataproc Metastore-Ressourcen in Ihrem Projekt ausführen können. Beispiel: Die Rolle Dataproc-Metaspeicher-Nutzer enthält die Berechtigungen metastore.*.get und metastore.*.list, die einem Nutzer ermöglichen, Dataproc Metastore-Dienste, Metadatenimporte, Sicherungen und Vorgänge in einem Projekt auflisten.
Einfache Rollen
Die folgende Tabelle enthält die einfachen Rollen und die mit jeder Rolle verknüpften Berechtigungen:
| Rollen-ID | Berechtigungen |
|---|---|
| roles/owner | Metaspeicher.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy metastore.*.setIamPolicy |
| roles/editor | Metaspeicher.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy |
| roles/viewer | metastore.*.get metastore.*.list metastore.*.getIamPolicy |
Hinweise:
- "*" kennzeichnet Ressourcentypen, z. B. "Dienste", "Importe", "Sicherungen", "Standorte" oder "Vorgänge". Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Beispielsweise sind
create,updateunddeletekeine gültigen Berechtigungen für "Standorte". - Die Rolle
ownerermöglicht die vollständige Steuerung der Dataproc Metastore-Ressourcen und die Verwaltung von IAM-Richtlinien. - Die Rolle
editorermöglicht die vollständige Steuerung der Dataproc Metastore-Ressourcen. - Mit der Rolle
viewerkönnen Nutzer Dataproc Metastore-Ressourcen und IAM-Richtliniendetails abrufen und auflisten.
Sie können einfache Rollen auf Projektebene mithilfe der IAM-Projektrollen zuweisen. Hier sind die Berechtigungen im Zusammenhang mit IAM-Projektrollen zusammengefasst:
| Projektrolle | Berechtigungen |
|---|---|
| Projektinhaber | Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffskontrolle für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung |
| Projektbearbeiter | Alle Berechtigungen des Projektbetrachters und alle Projektberechtigungen für Aktionen, die den Status ändern (create, delete, update, use) |
| Projektbetrachter | Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status (get, list) beibehalten |
Vordefinierte Rollen
In der folgenden Tabelle sind die vordefinierten (oder ausgewählten) Dataproc Metastore-Rollen und die Berechtigungen aufgeführt, die mit jeder Rolle verknüpft sind:
| Rollen-ID | Berechtigungen |
|---|---|
| roles/metastore.admin | Metaspeicher.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy metastore.*.setIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
| roles/metastore.editor | Metaspeicher.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
| roles/metastore.user | metastore.*.get metastore.*.list metastore.*.getIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
| roles/metastore.metadataOperator | metastore.imports.create metastore.imports.update metastore.imports.delete metastore.services.export metastore.backups.create metastore.backups.delete metastore.backups.use metastore.services.restore metastore.*.get metastore.*.list metastore.*.getIamPolicy resourcemanager .projects.get. resourcemanager.projects.list |
Hinweise:
- "*" kennzeichnet Ressourcentypen, z. B. "Dienste", "Importe", "Sicherungen", "Standorte" oder "Vorgänge". Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Beispielsweise sind
create,updateunddeletekeine gültigen Berechtigungen für "Standorte". Außerdem sind die Vorgänge "get",listunddeletedie einzigen, mit "Vorgängen" verknüpften Berechtigungen. - Die Rolle
metastore.admingewährt vollständigen Zugriff auf alle Dataproc Metastore-Ressourcen, einschließlich der Verwaltung von IAM-Richtlinien. - Die Rolle
metastore.editorgewährt Lese- und Schreibzugriff auf alle Dataproc Metastore-Ressourcen. - Die Rolle
metastore.usergewährt Lesezugriff auf alle Dataproc Metastore-Ressourcen.
Nächste Schritte
- Benutzerdefinierte Rollen erstellen
- Rollen gewähren und verwalten
- IAM-Berechtigungen von Dataproc Metastore zuordnen