IAM-Rollen für Dataproc Metastore

Dataproc Metastore definiert mehrere Rollen zur Identitäts- und Zugriffsverwaltung (IAM). Jede vordefinierte Rolle enthält eine Reihe von IAM-Berechtigungen, mit denen Mitglieder bestimmte Aktionen ausführen können. Wenn Sie ein neues Mitglied in Ihr Projekt aufnehmen, können Sie diesem Mitglied mithilfe einer IAM-Richtlinie eine oder mehrere IAM-Rollen zuweisen.

Identity and Access Management (IAM) bietet ebenfalls die Möglichkeit, benutzerdefinierte IAM-Rollen zu erstellen. Sie können benutzerdefinierte IAM-Rollen erstellen und diesen eine oder mehrere Berechtigungen zuweisen. Anschließend können Sie Ihren Mitgliedern die neue Rolle zuweisen. Neben den verfügbaren vordefinierten Rollen können Sie benutzerdefinierte Rollen verwenden, um ein Modell zur Zugriffssteuerung zu erstellen, das auf Ihre Anforderungen zugeschnitten ist.

In diesem Dokument werden die für Dataproc Metastore relevanten IAM-Rollen behandelt.

Hinweis

Dataproc Metastore-Rollen

Die Dataproc Metastore-Rollen von Identity and Access Management (IAM) sind mit einer oder mehreren Berechtigungen verbunden. Sie weisen Mitgliedern die entsprechenden Rollen zu, damit sie Aktionen für die Dataproc Metastore-Ressourcen in Ihrem Projekt ausführen können. Die Rolle Dataproc Metastore-Nutzer enthält beispielsweise die Berechtigungen metastore.*.get und metastore.*.list, mit denen Nutzer Dataproc abrufen und auflisten können. Metastore-Dienste, Metadatenimporte und Vorgänge in einem Projekt

Einfache Rollen

Die folgende Tabelle enthält die einfachen Rollen und die mit jeder Rolle verknüpften Berechtigungen:

Rollen-ID Berechtigungen
roles/owner metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
roles/editor metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
roles/viewer metastore.*.get
metastore.*.list
metastore.*.getIamPolicy

Hinweise:

  • "*" steht für Ressourcentypen wie "Dienste", "Importe", "Sicherungen", "Standorte" oder "Vorgänge". Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Zum Beispiel sind create, update und delete keine gültigen Berechtigungen für "Standorte".
  • Die Rolle owner ermöglicht die vollständige Steuerung der Dataproc Metastore-Ressourcen und die Verwaltung von IAM-Richtlinien.
  • Die Rolle editor ermöglicht die vollständige Steuerung der Dataproc Metastore-Ressourcen.
  • Mit der Rolle viewer können Nutzer Dataproc Metastore-Ressourcen und IAM-Richtliniendetails abrufen und auflisten.

Sie können einfache Rollen mithilfe der IAM-Projektrollen auf Projektebene zuweisen. Hier sind die Berechtigungen im Zusammenhang mit IAM-Projektrollen zusammengefasst:

Projektrolle Berechtigungen
Projektinhaber Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffskontrolle für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung
Projektbearbeiter Alle Berechtigungen des Projektbetrachters und alle Projektberechtigungen für Aktionen, die den Status ändern (create, delete, update, use)
Projektbetrachter Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status (get, list) beibehalten

Vordefinierte Rollen

In der folgenden Tabelle sind die vordefinierten (oder ausgewählten) Rollen von Dataproc Metastore und die mit jeder Rolle verknüpften Berechtigungen aufgelistet:

Rollen-ID Berechtigungen
roles/metastore.admin metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.editor metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.user metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.metadataOperator metastore.imports.create
metastore.imports.update
metastore.imports.delete
metastore.services.export
metastore.backups.create
metastore.backups.delete
metastore.backups.use
metastore.services.restore
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list

Hinweise:

  • "*" steht für Ressourcentypen wie "Dienste", "Importe", "Sicherungen", "Standorte" oder "Vorgänge". Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Zum Beispiel sind create, update und delete keine gültigen Berechtigungen für "Standorte". Darüber hinaus sind nur "operations" die Berechtigungen get, list und delete.
  • Die Rolle metastore.admin gewährt vollständigen Zugriff auf alle Dataproc Metastore-Ressourcen, einschließlich der Administration von IAM-Richtlinien.
  • Die Rolle metastore.editor gewährt Lese- und Schreibzugriff auf alle Dataproc Metastore-Ressourcen.
  • Die Rolle metastore.user gewährt Lesezugriff auf alle Dataproc Metastore-Ressourcen.

Nächste Schritte