Dataproc Metastore definiert mehrere Rollen für die Identitäts- und Zugriffsverwaltung (IAM). Jede vordefinierte Rolle enthält eine Reihe von IAM-Berechtigungen, mit denen Hauptkonten bestimmte Aktionen ausführen können. Sie können eine IAM-Richtlinie verwenden, um einem Hauptkonto eine oder mehrere IAM-Rollen zuzuweisen.
In der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie außerdem benutzerdefinierte IAM-Rollen erstellen. Sie können benutzerdefinierte IAM-Rollen erstellen und der Rolle eine oder mehrere Berechtigungen zuweisen. Anschließend können Sie den Hauptkonten die neue Rolle zuweisen. Verwenden Sie benutzerdefinierte Rollen, um neben den verfügbaren vordefinierten Rollen ein Zugriffssteuerungsmodell zu erstellen, das sich direkt Ihren Anforderungen zuordnen lässt.
Auf dieser Seite werden die IAM-Rollen behandelt, die für Dataproc Metastore relevant sind.
Hinweis
- Lesen Sie die IAM-Dokumentation.
Dataproc Metastore-Rollen
Dataproc Metastore-Rollen in Identity and Access Management (IAM) bestehen aus einer oder mehreren Berechtigungen.
Sie weisen den Hauptkonten Rollen zu, damit sie Aktionen für die Dataproc Metastore-Ressourcen in Ihrem Projekt ausführen können. Beispiel: Die Rolle Dataproc Metastore enthält die Berechtigungen metastore.*.get und metastore.*.list, mit denen Nutzer Dataproc abrufen und auflisten können. Metaspeicher-Dienste, Metadatenimporte, Sicherungen und Vorgänge in einem Projekt
Einfache Rollen
Die folgende Tabelle enthält die einfachen Rollen und die mit jeder Rolle verknüpften Berechtigungen:
| Rollen-ID | Berechtigungen |
|---|---|
| roles/owner | metastore.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy metastore.*.setIamPolicy |
| roles/editor | metastore.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy |
| roles/viewer | metastore.*.get metastore.*.list metastore.*.getIamPolicy |
Hinweise:
- "*" bezeichnet Ressourcentypen, z. B. "Dienste", "Importe", "Sicherungen", "Standorte" oder "Vorgänge". Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Zum Beispiel sind
create,updateunddeletekeine gültigen Berechtigungen für "Standorte". - Die Rolle
ownerermöglicht die vollständige Steuerung der Dataproc Metastore-Ressourcen und die Verwaltung von IAM-Richtlinien. - Die Rolle
editorermöglicht die vollständige Steuerung der Dataproc Metastore-Ressourcen. - Mit der Rolle
viewerkönnen Nutzer Dataproc Metastore-Ressourcen und IAM-Richtliniendetails abrufen und auflisten.
Sie können einfache Rollen auf Projektebene mithilfe der IAM-Projektrollen zuweisen. Hier finden Sie eine Zusammenfassung der Berechtigungen, die mit IAM-Projektrollen verbunden sind:
| Projektrolle | Berechtigungen |
|---|---|
| Projektinhaber | Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffskontrolle für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung |
| Projektbearbeiter | Alle Berechtigungen des Projektbetrachters und alle Projektberechtigungen für Aktionen, die den Status ändern (create, delete, update, use) |
| Projektbetrachter | Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status (get, list) beibehalten |
Vordefinierte Rollen
In der folgenden Tabelle sind die vordefinierten (oder ausgewählten) Dataproc Metastore-Rollen und die mit den einzelnen Rollen verknüpften Berechtigungen aufgeführt:
| Rollen-ID | Berechtigungen |
|---|---|
| roles/metastore.admin | metastore.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy metastore.*.setIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
| roles/metastore.editor | metastore.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
| roles/metastore.user | metastore.*.get metastore.*.list metastore.*.getIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
| roles/metastore.metadataOperator | metastore.imports.create metastore.imports.update metastore.imports.delete metastore.services.export metastore.backups.create metastore.backups.delete metastore.backups.use metastore.services.restore metastore.*.get metastore.*.list metastore.*.getIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
Hinweise:
- "*" bezeichnet Ressourcentypen, z. B. "Dienste", "Importe", "Sicherungen", "Standorte" oder "Vorgänge". Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Zum Beispiel sind
create,updateunddeletekeine gültigen Berechtigungen für "Standorte". Die einzigen Berechtigungen, die mit "operations" verknüpft sind, sind darüber hinausget,listunddelete. - Die Rolle
metastore.admingewährt vollständigen Zugriff auf alle Dataproc Metastore-Ressourcen, einschließlich der Verwaltung von IAM-Richtlinien. - Die Rolle
metastore.editorgewährt Lese- und Schreibzugriff auf alle Dataproc Metastore-Ressourcen. - Die Rolle
metastore.usergewährt Lesezugriff auf alle Dataproc Metastore-Ressourcen.
Nächste Schritte
- Benutzerdefinierte Rollen erstellen
- Rollen gewähren und verwalten
- IAM-Berechtigungen von Dataproc Metastore zuordnen