IAM-Rollen für Dataproc Metastore

Dataproc Metastore definiert mehrere Rollen für die Identitäts- und Zugriffsverwaltung (IAM). Jede vordefinierte Rolle enthält eine Reihe von IAM-Berechtigungen, mit denen Hauptkonten bestimmte Aktionen ausführen können. Sie können eine IAM-Richtlinie verwenden, um einem Hauptkonto eine oder mehrere IAM-Rollen zuzuweisen.

In der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie außerdem benutzerdefinierte IAM-Rollen erstellen. Sie können benutzerdefinierte IAM-Rollen erstellen und der Rolle eine oder mehrere Berechtigungen zuweisen. Anschließend können Sie den Hauptkonten die neue Rolle zuweisen. Verwenden Sie benutzerdefinierte Rollen, um neben den verfügbaren vordefinierten Rollen ein Zugriffssteuerungsmodell zu erstellen, das sich direkt Ihren Anforderungen zuordnen lässt.

Auf dieser Seite werden die IAM-Rollen behandelt, die für Dataproc Metastore relevant sind.

Hinweis

Dataproc Metastore-Rollen

Dataproc Metastore-Rollen in Identity and Access Management (IAM) bestehen aus einer oder mehreren Berechtigungen. Sie weisen den Hauptkonten Rollen zu, damit sie Aktionen für die Dataproc Metastore-Ressourcen in Ihrem Projekt ausführen können. Beispiel: Die Rolle Dataproc Metastore enthält die Berechtigungen metastore.*.get und metastore.*.list, mit denen Nutzer Dataproc abrufen und auflisten können. Metaspeicher-Dienste, Metadatenimporte, Sicherungen und Vorgänge in einem Projekt

Einfache Rollen

Die folgende Tabelle enthält die einfachen Rollen und die mit jeder Rolle verknüpften Berechtigungen:

Rollen-ID Berechtigungen
roles/owner metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
roles/editor metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
roles/viewer metastore.*.get
metastore.*.list
metastore.*.getIamPolicy

Hinweise:

  • "*" bezeichnet Ressourcentypen, z. B. "Dienste", "Importe", "Sicherungen", "Standorte" oder "Vorgänge". Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Zum Beispiel sind create, update und delete keine gültigen Berechtigungen für "Standorte".
  • Die Rolle owner ermöglicht die vollständige Steuerung der Dataproc Metastore-Ressourcen und die Verwaltung von IAM-Richtlinien.
  • Die Rolle editor ermöglicht die vollständige Steuerung der Dataproc Metastore-Ressourcen.
  • Mit der Rolle viewer können Nutzer Dataproc Metastore-Ressourcen und IAM-Richtliniendetails abrufen und auflisten.

Sie können einfache Rollen auf Projektebene mithilfe der IAM-Projektrollen zuweisen. Hier finden Sie eine Zusammenfassung der Berechtigungen, die mit IAM-Projektrollen verbunden sind:

Projektrolle Berechtigungen
Projektinhaber Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffskontrolle für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung
Projektbearbeiter Alle Berechtigungen des Projektbetrachters und alle Projektberechtigungen für Aktionen, die den Status ändern (create, delete, update, use)
Projektbetrachter Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status (get, list) beibehalten

Vordefinierte Rollen

In der folgenden Tabelle sind die vordefinierten (oder ausgewählten) Dataproc Metastore-Rollen und die mit den einzelnen Rollen verknüpften Berechtigungen aufgeführt:

Rollen-ID Berechtigungen
roles/metastore.admin metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.editor metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.user metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.metadataOperator metastore.imports.create
metastore.imports.update
metastore.imports.delete
metastore.services.export
metastore.backups.create
metastore.backups.delete
metastore.backups.use
metastore.services.restore
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list

Hinweise:

  • "*" bezeichnet Ressourcentypen, z. B. "Dienste", "Importe", "Sicherungen", "Standorte" oder "Vorgänge". Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Zum Beispiel sind create, update und delete keine gültigen Berechtigungen für "Standorte". Die einzigen Berechtigungen, die mit "operations" verknüpft sind, sind darüber hinaus get, list und delete.
  • Die Rolle metastore.admin gewährt vollständigen Zugriff auf alle Dataproc Metastore-Ressourcen, einschließlich der Verwaltung von IAM-Richtlinien.
  • Die Rolle metastore.editor gewährt Lese- und Schreibzugriff auf alle Dataproc Metastore-Ressourcen.
  • Die Rolle metastore.user gewährt Lesezugriff auf alle Dataproc Metastore-Ressourcen.

Nächste Schritte