Dataproc Metastore definiert mehrere Rollen zur Identitäts- und Zugriffsverwaltung (IAM). Jede vordefinierte Rolle enthält eine Reihe von IAM-Berechtigungen, mit denen Mitglieder bestimmte Aktionen ausführen können. Wenn Sie ein neues Mitglied in Ihr Projekt aufnehmen, können Sie diesem Mitglied mithilfe einer IAM-Richtlinie eine oder mehrere IAM-Rollen zuweisen.
Identity and Access Management (IAM) bietet ebenfalls die Möglichkeit, benutzerdefinierte IAM-Rollen zu erstellen. Sie können benutzerdefinierte IAM-Rollen erstellen und diesen eine oder mehrere Berechtigungen zuweisen. Anschließend können Sie Ihren Mitgliedern die neue Rolle zuweisen. Neben den verfügbaren vordefinierten Rollen können Sie benutzerdefinierte Rollen verwenden, um ein Modell zur Zugriffssteuerung zu erstellen, das auf Ihre Anforderungen zugeschnitten ist.
In diesem Dokument werden die für Dataproc Metastore relevanten IAM-Rollen behandelt.
Hinweis
- Lesen Sie die IAM-Dokumentation.
Dataproc Metastore-Rollen
Die Dataproc Metastore-Rollen von Identity and Access Management (IAM) sind mit einer oder mehreren Berechtigungen verbunden.
Sie weisen Mitgliedern die entsprechenden Rollen zu, damit sie Aktionen für die Dataproc Metastore-Ressourcen in Ihrem Projekt ausführen können. Die Rolle Dataproc Metastore-Nutzer enthält beispielsweise die Berechtigungen metastore.*.get und metastore.*.list, mit denen Nutzer Dataproc abrufen und auflisten können. Metastore-Dienste, Metadatenimporte und Vorgänge in einem Projekt
Einfache Rollen
Die folgende Tabelle enthält die einfachen Rollen und die mit jeder Rolle verknüpften Berechtigungen:
| Rollen-ID | Berechtigungen |
|---|---|
| roles/owner | metastore.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy metastore.*.setIamPolicy |
| roles/editor | metastore.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy |
| roles/viewer | metastore.*.get metastore.*.list metastore.*.getIamPolicy |
Hinweise:
- "*" steht für Ressourcentypen wie "Dienste", "Importe", "Sicherungen", "Standorte" oder "Vorgänge". Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Zum Beispiel sind
create,updateunddeletekeine gültigen Berechtigungen für "Standorte". - Die Rolle
ownerermöglicht die vollständige Steuerung der Dataproc Metastore-Ressourcen und die Verwaltung von IAM-Richtlinien. - Die Rolle
editorermöglicht die vollständige Steuerung der Dataproc Metastore-Ressourcen. - Mit der Rolle
viewerkönnen Nutzer Dataproc Metastore-Ressourcen und IAM-Richtliniendetails abrufen und auflisten.
Sie können einfache Rollen mithilfe der IAM-Projektrollen auf Projektebene zuweisen. Hier sind die Berechtigungen im Zusammenhang mit IAM-Projektrollen zusammengefasst:
| Projektrolle | Berechtigungen |
|---|---|
| Projektinhaber | Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffskontrolle für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung |
| Projektbearbeiter | Alle Berechtigungen des Projektbetrachters und alle Projektberechtigungen für Aktionen, die den Status ändern (create, delete, update, use) |
| Projektbetrachter | Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status (get, list) beibehalten |
Vordefinierte Rollen
In der folgenden Tabelle sind die vordefinierten (oder ausgewählten) Rollen von Dataproc Metastore und die mit jeder Rolle verknüpften Berechtigungen aufgelistet:
| Rollen-ID | Berechtigungen |
|---|---|
| roles/metastore.admin | metastore.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy metastore.*.setIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
| roles/metastore.editor | metastore.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
| roles/metastore.user | metastore.*.get metastore.*.list metastore.*.getIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
| roles/metastore.metadataOperator | metastore.imports.create metastore.imports.update metastore.imports.delete metastore.services.export metastore.backups.create metastore.backups.delete metastore.backups.use metastore.services.restore metastore.*.get metastore.*.list metastore.*.getIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
Hinweise:
- "*" steht für Ressourcentypen wie "Dienste", "Importe", "Sicherungen", "Standorte" oder "Vorgänge". Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Zum Beispiel sind
create,updateunddeletekeine gültigen Berechtigungen für "Standorte". Darüber hinaus sind nur "operations" die Berechtigungenget,listunddelete. - Die Rolle
metastore.admingewährt vollständigen Zugriff auf alle Dataproc Metastore-Ressourcen, einschließlich der Administration von IAM-Richtlinien. - Die Rolle
metastore.editorgewährt Lese- und Schreibzugriff auf alle Dataproc Metastore-Ressourcen. - Die Rolle
metastore.usergewährt Lesezugriff auf alle Dataproc Metastore-Ressourcen.
Nächste Schritte
- Benutzerdefinierte Rollen erstellen
- Rollen gewähren und verwalten
- IAM-Berechtigungen von Dataproc Metastore zuordnen