Dataproc Metastore definiert mehrere Rollen für die Identitäts- und Zugriffsverwaltung (IAM). Jede vordefinierte Rolle enthält eine Reihe von IAM-Berechtigungen, mit denen Hauptkonten bestimmte Aktionen ausführen können. Sie können einer IAM-Rolle mithilfe einer IAM-Richtlinie eine oder mehrere IAM-Rollen zuweisen.
In der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie außerdem benutzerdefinierte IAM-Rollen erstellen. Sie können benutzerdefinierte IAM-Rollen erstellen und der Rolle eine oder mehrere Berechtigungen zuweisen. Anschließend können Sie den Hauptkonten die neue Rolle zuweisen. Verwenden Sie benutzerdefinierte Rollen, um neben den verfügbaren vordefinierten Rollen ein Zugriffssteuerungsmodell zu erstellen, das sich direkt Ihren Anforderungen zuordnen lässt.
Auf dieser Seite liegt der Schwerpunkt auf den für Dataproc Metastore relevanten IAM-Rollen.
Hinweise
- Lesen Sie die IAM-Dokumentation.
Dataproc Metastore-Rollen
Dataproc Metastore-Rollen in Identity and Access Management (IAM) sind ein Bundle aus einer oder mehreren Berechtigungen.
Sie weisen den Hauptkonten Rollen zu, damit sie Aktionen für die Dataproc Metastore-Ressourcen in Ihrem Projekt ausführen können. Beispiel: Die Rolle Dataproc Metastore enthält die Berechtigungen metastore.*.get
und metastore.*.list
, mit denen Nutzer Dataproc Metastore-Dienste, Metadatenimporte, Sicherungen und Vorgänge in einem Projekt abrufen und auflisten können.
Einfache Rollen
In der folgenden Tabelle sind die einfachen Rollen und die mit den einzelnen Rollen verknüpften Berechtigungen aufgeführt:
Rollen-ID | Berechtigungen |
---|---|
roles/owner |
metastore.*.create |
roles/editor |
metastore.*.create |
roles/viewer |
metastore.*.get |
Hinweise:
- " kennzeichnet Ressourcentypen, wie z. B. "Services", ""-Importe". Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Zum Beispiel sind
create
,update
unddelete
keine gültigen Berechtigungen für "locations."". Darüber hinaus sind die Berechtigungen, die mit Vorgängen verknüpft sind,get
,list
,cancel
unddelete
. - Die Rolle
owner
ermöglicht die vollständige Kontrolle über Dataproc Metastore-Ressourcen und die IAM-Richtlinienverwaltung. - Die Rolle
editor
ermöglicht die vollständige Kontrolle über Dataproc Metastore-Ressourcen. - Die Rolle
viewer
ermöglicht einem Nutzer, Dataproc Metastore-Ressourcen und IAM-Richtliniendetails abzurufen und aufzulisten.
Mit den IAM-Projektrollen können Sie einfache Rollen auf Projektebene zuweisen. Im Folgenden finden Sie eine Zusammenfassung der Berechtigungen, die mit IAM-Projektrollen verknüpft sind:
Projektrolle | Berechtigungen |
---|---|
Projektinhaber | Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffssteuerung für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung |
Projektbearbeiter | Alle Berechtigungen des Projektbetrachters und alle Projektberechtigungen für Aktionen, durch die der Status geändert wird (erstellen, löschen, aktualisieren, verwenden) |
Projektbetrachter | Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status beibehalten (get, list) |
Vordefinierte Rollen
In der folgenden Tabelle sind die vordefinierten (oder ausgewählten) Dataproc Metastore-Rollen und die mit den einzelnen Rollen verknüpften Berechtigungen aufgeführt:
Rollen-ID | Berechtigungen |
---|---|
roles/metastore.admin |
metastore.services.create |
roles/metastore.editor |
metastore.services.create |
roles/metastore.user |
metastore.services.get |
roles/metastore.metadataOperator |
metastore.services.get |
Hinweise:
- Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Zum Beispiel sind
create
,update
unddelete
keine gültigen Berechtigungen für "locations."". Darüber hinaus sind die Berechtigungen, die mit Vorgängen verknüpft sind,get
,list
,cancel
unddelete
. - Die Rolle
metastore.admin
gewährt vollständigen Zugriff auf alle Dataproc Metastore-Ressourcen, einschließlich der Verwaltung von IAM-Richtlinien. - Die Rolle
metastore.editor
gewährt Lese- und Schreibzugriff auf alle Dataproc Metastore-Ressourcen. - Die Rolle
metastore.user
gewährt Lesezugriff auf alle Dataproc Metastore-Ressourcen. - Die Rollen
metastore.metadataOperator
,metastore.metadataOwner
undmetastore.metadataEditor
gewähren Lese- und Änderungszugriff auf die Metadaten von Datenbanken und Tabellen in diesen Datenbanken. - Die Rollen
metastore.metadataViewer
und metastore.metadataUser gewähren Lesezugriff auf die Metadaten von Datenbanken und Tabellen in diesen Datenbanken.
Vordefinierte Rollen für Metadatenressourcen
In der folgenden Tabelle sind die vordefinierten (oder ausgewählten) Dataproc Metastore-Rollen für Metadatenressourcen und Details zu jeder Rolle aufgeführt:
Vordefinierte Rolle | Beschreibung | Berechtigungen | Vorgänge, die ein Hauptkonto ausführen kann, wenn ihm diese Rolle zugewiesen ist |
---|---|---|---|
Rolle "Metadaten-Inhaber" (metastore.metadataOwner ) |
Gewährt vollständigen Zugriff auf die Metadatenressourcen und ihre IAM-Richtlinien. | metastore.services.get |
In einem Dienst:
|
Rolle"Metadaten-Bearbeiter" (metastore.metadataEditor ) |
Gewährt Zugriff auf ein Hauptkonto, um Metadatenressourcen zu erstellen und zu ändern. | metastore.services.get
|
In einem Dienst:
|
Rolle "Metadaten-Betrachter" (metastore.metadataViewer )
|
Gewährt einem Hauptkonto Zugriff zum Aufrufen von Metadatenressourcen. | metastore.services.get |
In einem Dienst:
|
Rolle"Metadaten-Nutzer" (metastore.metadataUser ) |
Gewährt Zugriff auf ein Hauptkonto, um den gRPC-Endpunkt eines Dataproc Metastore-Dienstes zu verwenden. Muss in der Service Level Policy Richtlinie oder höher erteilt werden. | metastore.services.get |
In einem Dienst:
|
- " kennzeichnet Methoden, wie "create", "update" und "delete", "&get" und "list".
- Die Datenbanken und Tabellenberechtigungen werden mit gRPC-fähigen Dataproc Metastore-Diensten verwendet. Sie haben keine Auswirkungen auf die Verwendung mit Diensten, die Thrift-Endpunkte verwenden.
Nächste Schritte
- Benutzerdefinierte IAM-Rollen erstellen
- Rollen zuweisen und verwalten
- Siehe IAM-Berechtigungen für Dataproc Metastore.