IAM-Rollen für Dataproc Metastore

Dataproc Metastore definiert mehrere IAM-Rollen (Identity and Access Management). Jede vordefinierte Rolle enthält eine Reihe von IAM-Berechtigungen, mit denen Mitglieder bestimmte Aktionen ausführen können. Wenn Sie ein neues Mitglied in Ihr Projekt aufnehmen, können Sie diesem Mitglied mithilfe einer IAM-Richtlinie eine oder mehrere IAM-Rollen zuweisen.

In der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie außerdem benutzerdefinierte IAM-Rollen erstellen. Sie können benutzerdefinierte IAM-Rollen erstellen und diesen eine oder mehrere Berechtigungen zuweisen. Anschließend können Sie Ihren Mitgliedern die neue Rolle zuweisen. Neben den verfügbaren vordefinierten Rollen können Sie benutzerdefinierte Rollen verwenden, um ein Modell zur Zugriffssteuerung zu erstellen, das auf Ihre Anforderungen zugeschnitten ist.

Auf dieser Seite geht es um die IAM-Rollen, die für Dataproc Metastore relevant sind.

Hinweis

Dataproc Metastore-Rollen

Dataproc Metastore-Rollen in der Identitäts- und Zugriffsverwaltung (IAM) umfassen eine oder mehrere Berechtigungen. Sie weisen den Mitgliedern Rollen zu, damit sie Aktionen mit den Dataproc Metastore-Ressourcen in Ihrem Projekt ausführen können. Beispiel: Die Rolle Dataproc-Metaspeicher-Nutzer enthält die Berechtigungen metastore.*.get und metastore.*.list, die einem Nutzer ermöglichen, Dataproc Metastore-Dienste, Metadatenimporte, Sicherungen und Vorgänge in einem Projekt auflisten.

Einfache Rollen

Die folgende Tabelle enthält die einfachen Rollen und die mit jeder Rolle verknüpften Berechtigungen:

Rollen-ID Berechtigungen
roles/owner Metaspeicher.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
roles/editor Metaspeicher.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
roles/viewer metastore.*.get
metastore.*.list
metastore.*.getIamPolicy

Hinweise:

  • "*" kennzeichnet Ressourcentypen, z. B. "Dienste", "Importe", "Sicherungen", "Standorte" oder "Vorgänge". Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Beispielsweise sind create, update und delete keine gültigen Berechtigungen für "Standorte".
  • Die Rolle owner ermöglicht die vollständige Steuerung der Dataproc Metastore-Ressourcen und die Verwaltung von IAM-Richtlinien.
  • Die Rolle editor ermöglicht die vollständige Steuerung der Dataproc Metastore-Ressourcen.
  • Mit der Rolle viewer können Nutzer Dataproc Metastore-Ressourcen und IAM-Richtliniendetails abrufen und auflisten.

Sie können einfache Rollen auf Projektebene mithilfe der IAM-Projektrollen zuweisen. Hier sind die Berechtigungen im Zusammenhang mit IAM-Projektrollen zusammengefasst:

Projektrolle Berechtigungen
Projektinhaber Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffskontrolle für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung
Projektbearbeiter Alle Berechtigungen des Projektbetrachters und alle Projektberechtigungen für Aktionen, die den Status ändern (create, delete, update, use)
Projektbetrachter Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status (get, list) beibehalten

Vordefinierte Rollen

In der folgenden Tabelle sind die vordefinierten (oder ausgewählten) Dataproc Metastore-Rollen und die Berechtigungen aufgeführt, die mit jeder Rolle verknüpft sind:

Rollen-ID Berechtigungen
roles/metastore.admin Metaspeicher.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.editor Metaspeicher.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.user metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.metadataOperator metastore.imports.create
metastore.imports.update
metastore.imports.delete
metastore.services.export
metastore.backups.create
metastore.backups.delete
metastore.backups.use
metastore.services.restore
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager .projects.get.
resourcemanager.projects.list

Hinweise:

  • "*" kennzeichnet Ressourcentypen, z. B. "Dienste", "Importe", "Sicherungen", "Standorte" oder "Vorgänge". Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert. Beispielsweise sind create, update und delete keine gültigen Berechtigungen für "Standorte". Außerdem sind die Vorgänge "get", list und delete die einzigen, mit "Vorgängen" verknüpften Berechtigungen.
  • Die Rolle metastore.admin gewährt vollständigen Zugriff auf alle Dataproc Metastore-Ressourcen, einschließlich der Verwaltung von IAM-Richtlinien.
  • Die Rolle metastore.editor gewährt Lese- und Schreibzugriff auf alle Dataproc Metastore-Ressourcen.
  • Die Rolle metastore.user gewährt Lesezugriff auf alle Dataproc Metastore-Ressourcen.

Nächste Schritte