IAM-Rollen für Dataproc Metastore

Dataproc Metastore definiert mehrere Rollen für die Identitäts- und Zugriffsverwaltung (IAM). Jede vordefinierte Rolle enthält eine Reihe von IAM-Berechtigungen, mit denen Hauptkonten bestimmte Aktionen ausführen können. Sie können einer IAM-Rolle mithilfe einer IAM-Richtlinie eine oder mehrere IAM-Rollen zuweisen.

In der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie außerdem benutzerdefinierte IAM-Rollen erstellen. Sie können benutzerdefinierte IAM-Rollen erstellen und der Rolle eine oder mehrere Berechtigungen zuweisen. Anschließend können Sie den Hauptkonten die neue Rolle zuweisen. Verwenden Sie benutzerdefinierte Rollen, um neben den verfügbaren vordefinierten Rollen ein Zugriffssteuerungsmodell zu erstellen, das sich direkt Ihren Anforderungen zuordnen lässt.

Auf dieser Seite liegt der Schwerpunkt auf den für Dataproc Metastore relevanten IAM-Rollen.

Hinweise

Dataproc Metastore-Rollen

Dataproc Metastore-Rollen in Identity and Access Management (IAM) sind ein Bundle aus einer oder mehreren Berechtigungen. Sie weisen den Hauptkonten Rollen zu, damit sie Aktionen für die Dataproc Metastore-Ressourcen in Ihrem Projekt ausführen können. Beispiel: Die Rolle Dataproc Metastore enthält die Berechtigungen metastore.*.get und metastore.*.list, mit denen Nutzer Dataproc Metastore-Dienste, Metadatenimporte, Sicherungen und Vorgänge in einem Projekt abrufen und auflisten können.

Einfache Rollen

In der folgenden Tabelle sind die einfachen Rollen und die mit den einzelnen Rollen verknüpften Berechtigungen aufgeführt:

Rollen-ID Berechtigungen
roles/owner metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
roles/editor metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
roles/viewer metastore.*.get
metastore.*.list
metastore.*.getIamPolicy

Hinweise:

  • " kennzeichnet Ressourcentypen, wie z. B. "Services", ""-Importe". Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Zum Beispiel sind create, update und delete keine gültigen Berechtigungen für "locations.&quot". Darüber hinaus sind die Berechtigungen, die mit Vorgängen verknüpft sind, get, list, cancel und delete.
  • Die Rolle owner ermöglicht die vollständige Kontrolle über Dataproc Metastore-Ressourcen und die IAM-Richtlinienverwaltung.
  • Die Rolle editor ermöglicht die vollständige Kontrolle über Dataproc Metastore-Ressourcen.
  • Die Rolle viewer ermöglicht einem Nutzer, Dataproc Metastore-Ressourcen und IAM-Richtliniendetails abzurufen und aufzulisten.

Mit den IAM-Projektrollen können Sie einfache Rollen auf Projektebene zuweisen. Im Folgenden finden Sie eine Zusammenfassung der Berechtigungen, die mit IAM-Projektrollen verknüpft sind:

Projektrolle Berechtigungen
Projektinhaber Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffssteuerung für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung
Projektbearbeiter Alle Berechtigungen des Projektbetrachters und alle Projektberechtigungen für Aktionen, durch die der Status geändert wird (erstellen, löschen, aktualisieren, verwenden)
Projektbetrachter Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status beibehalten (get, list)

Vordefinierte Rollen

In der folgenden Tabelle sind die vordefinierten (oder ausgewählten) Dataproc Metastore-Rollen und die mit den einzelnen Rollen verknüpften Berechtigungen aufgeführt:

Rollen-ID Berechtigungen
roles/metastore.admin metastore.services.create
metastore.services.update
metastore.services.delete
metastore.services.get
metastore.services.list
metastore.services.getIamPolicy
metastore.services.setIamPolicy
metastore.services.export
metastore.services.restore
metastore.imports.create
metastore.imports.update
metastore.imports.delete
metastore.imports.get
metastore.imports.list
metastore.backups.create
metastore.backups.delete
metastore.backups.get
metastore.backups.list
metastore.backups.getIamPolicy
metastore.backups.setIamPolicy
metastore.locations.get
metastore.locations.list
metastore.operations.get
metastore.operations.list
metastore.operations.cancel
metastore.operations.delete
roles/metastore.editor metastore.services.create
metastore.services.update
metastore.services.delete
metastore.services.get
metastore.services.list
metastore.services.getIamPolicy
metastore.services.export
metastore.services.restore
metastore.imports.create
metastore.imports.update
metastore.imports.delete
metastore.imports.get
metastore.imports.list
metastore.backups.create
metastore.backups.delete
metastore.backups.get
metastore.backups.list
metastore.backups.getIamPolicy
metastore.locations.get
metastore.locations.list
metastore.operations.get
metastore.operations.list
metastore.operations.cancel
metastore.operations.delete
roles/metastore.user metastore.services.get
metastore.services.list
metastore.services.getIamPolicy
metastore.imports.get
metastore.imports.list
metastore.backups.get
metastore.backups.list
metastore.backups.getIamPolicy
metastore.locations.get
metastore.locations.list
metastore.operations.get
metastore.operations.list
roles/metastore.metadataOperator metastore.services.get
metastore.services.list
metastore.services.getIamPolicy
metastore.imports.create
metastore.imports.update
metastore.imports.delete
metastore.imports.get
metastore.imports.list
metastore.backups.create
metastore.backups.delete
metastore.backups.get
metastore.backups.list
metastore.backups.use
metastore.locations.get
metastore.locations.list
metastore.operations.get
metastore.operations.list

Hinweise:

  • Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Zum Beispiel sind create, update und delete keine gültigen Berechtigungen für "locations.&quot". Darüber hinaus sind die Berechtigungen, die mit Vorgängen verknüpft sind, get, list, cancel und delete.
  • Die Rolle metastore.admin gewährt vollständigen Zugriff auf alle Dataproc Metastore-Ressourcen, einschließlich der Verwaltung von IAM-Richtlinien.
  • Die Rolle metastore.editor gewährt Lese- und Schreibzugriff auf alle Dataproc Metastore-Ressourcen.
  • Die Rolle metastore.user gewährt Lesezugriff auf alle Dataproc Metastore-Ressourcen.
  • Die Rollen metastore.metadataOperator, metastore.metadataOwner und metastore.metadataEditor gewähren Lese- und Änderungszugriff auf die Metadaten von Datenbanken und Tabellen in diesen Datenbanken.
  • Die Rollen metastore.metadataViewer und metastore.metadataUser gewähren Lesezugriff auf die Metadaten von Datenbanken und Tabellen in diesen Datenbanken.

Vordefinierte Rollen für Metadatenressourcen

In der folgenden Tabelle sind die vordefinierten (oder ausgewählten) Dataproc Metastore-Rollen für Metadatenressourcen und Details zu jeder Rolle aufgeführt:

Vordefinierte Rolle Beschreibung Berechtigungen Vorgänge, die ein Hauptkonto ausführen kann, wenn ihm diese Rolle zugewiesen ist
Rolle "Metadaten-Inhaber" (metastore.metadataOwner) Gewährt vollständigen Zugriff auf die Metadatenressourcen und ihre IAM-Richtlinien. metastore.services.get
metastore.services.list
metastore.services.getIamPolicy
metastore.services.use
metastore.databases.*
metastore.tables.*		 In einem Dienst:
  • Kann auf Datenbanken zugreifen
  • Darf Datenbanken auflisten
  • Darf Datenbanken erstellen
  • Darf Datenbanken löschen
  • Kann Datenbanken aktualisieren
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Datenbanken festlegen
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Datenbanken abrufen
  • Kann auf Tabellen zugreifen
  • Darf Tabellen auflisten
  • Darf Tabellen erstellen
  • Darf Tabellen löschen
  • Tabellen aktualisieren
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Tabellen festlegen
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Tabellen abrufen
  • Kann auf Partitionen zugreifen
  • Darf Partitionen auflisten
  • Darf Partitionen hinzufügen
  • Darf Partitionen löschen
  • Kann Partitionen aktualisieren
In einer Datenbank:
  • Kann auf Datenbanken zugreifen
  • Darf Datenbanken löschen
  • Kann Datenbanken aktualisieren
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Datenbanken festlegen
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Datenbanken abrufen
  • Kann auf Tabellen zugreifen
  • Darf Tabellen auflisten
  • Darf Tabellen erstellen
  • Darf Tabellen löschen
  • Tabellen aktualisieren
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Tabellen festlegen
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Tabellen abrufen
  • Kann auf Partitionen zugreifen
  • Darf Partitionen auflisten
  • Darf Partitionen hinzufügen
  • Darf Partitionen löschen
  • Kann Partitionen aktualisieren
In einer Tabelle:
  • Kann auf Tabellen zugreifen
  • Darf Tabellen löschen
  • Tabellen aktualisieren
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Tabellen festlegen
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Tabellen abrufen
  • Kann auf Partitionen zugreifen
  • Darf Partitionen auflisten
  • Darf Partitionen hinzufügen
  • Darf Partitionen löschen
  • Kann Partitionen aktualisieren
Rolle"Metadaten-Bearbeiter" (metastore.metadataEditor) Gewährt Zugriff auf ein Hauptkonto, um Metadatenressourcen zu erstellen und zu ändern. metastore.services.get
metastore.services.use
metastore.databases.create
metastore.databases.update
metastore.databases.delete
metastore.databases.get
metastore.databases.list
metastore.databases.getIamPolicy
metastore.tables.create
metastore.tables.update
metastore.tables.delete
metastore.tables.get
metastore.tables.list
metastore.tables.getIamPolicy 		In einem Dienst:
  • Kann auf Datenbanken zugreifen
  • Darf Datenbanken auflisten
  • Darf Datenbanken erstellen
  • Darf Datenbanken löschen
  • Kann Datenbanken aktualisieren
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Datenbanken abrufen
  • Kann auf Tabellen zugreifen
  • Darf Tabellen auflisten
  • Darf Tabellen erstellen
  • Darf Tabellen löschen
  • Tabellen aktualisieren
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Tabellen abrufen
  • Kann auf Partitionen zugreifen
  • Darf Partitionen auflisten
  • Darf Partitionen hinzufügen
  • Darf Partitionen löschen
  • Kann Partitionen aktualisieren
In einer Datenbank:
  • Kann auf Datenbanken zugreifen
  • Darf Datenbanken löschen
  • Kann Datenbanken aktualisieren
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Datenbanken abrufen
  • Kann auf Tabellen zugreifen
  • Darf Tabellen auflisten
  • Darf Tabellen erstellen
  • Darf Tabellen löschen
  • Tabellen aktualisieren
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Tabellen abrufen
  • Kann auf Partitionen zugreifen
  • Darf Partitionen auflisten
  • Darf Partitionen hinzufügen
  • Darf Partitionen löschen
  • Kann Partitionen aktualisieren
In einer Tabelle:
  • Kann auf Tabellen zugreifen
  • Darf Tabellen löschen
  • Tabellen aktualisieren
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Tabellen abrufen
  • Kann auf Partitionen zugreifen
  • Darf Partitionen auflisten
  • Darf Partitionen hinzufügen
  • Darf Partitionen löschen
  • Kann Partitionen aktualisieren
Rolle "Metadaten-Betrachter" (metastore.metadataViewer) Gewährt einem Hauptkonto Zugriff zum Aufrufen von Metadatenressourcen. metastore.services.get
metastore.services.use
metastore.databases.get
metastore.databases.list
metastore.databases.getIamPolicy
metastore.tables.get
metastore.tables.list
metastore.tables.getIamPolicy		 In einem Dienst:
  • Kann auf Datenbanken zugreifen
  • Darf Datenbanken auflisten
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Datenbanken abrufen
  • Kann auf Tabellen zugreifen
  • Darf Tabellen auflisten
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Tabellen abrufen
  • Kann auf Partitionen zugreifen
  • Darf Partitionen auflisten
In einer Datenbank:
  • Kann auf Datenbanken zugreifen
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Datenbanken abrufen
  • Kann auf Tabellen zugreifen
  • Darf Tabellen auflisten
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Tabellen abrufen
  • Kann auf Partitionen zugreifen
  • Darf Partitionen auflisten
In einer Tabelle:
  • Kann auf Tabellen zugreifen
  • Kann die IAM-Zugriffssteuerungsrichtlinie für die Tabellen abrufen
  • Kann auf Partitionen zugreifen
  • Darf Partitionen auflisten
Rolle"Metadaten-Nutzer" (metastore.metadataUser) Gewährt Zugriff auf ein Hauptkonto, um den gRPC-Endpunkt eines Dataproc Metastore-Dienstes zu verwenden. Muss in der Service Level Policy Richtlinie oder höher erteilt werden. metastore.services.get
metastore.services.use
metastore.databases.get
metastore.databases.list		 In einem Dienst:
  • Kann auf Datenbanken zugreifen
  • Darf Datenbanken auflisten
  • Kann Methoden aufrufen, die nicht mit bestimmten Metadatenressourcen zusammenhängen
  • " kennzeichnet Methoden, wie "create", "update" und "delete", "&get" und "list".
  • Die Datenbanken und Tabellenberechtigungen werden mit gRPC-fähigen Dataproc Metastore-Diensten verwendet. Sie haben keine Auswirkungen auf die Verwendung mit Diensten, die Thrift-Endpunkte verwenden.

Nächste Schritte