Rôles IAM pour Dataproc Metastore

Dataproc Metastore définit plusieurs rôles Identity and Access Management (IAM). Chaque rôle prédéfini contient un ensemble d'autorisations IAM qui permettent aux comptes principaux d'effectuer certaines actions. Vous pouvez utiliser une stratégie IAM pour attribuer un ou plusieurs rôles IAM à un compte principal.

Cloud Identity and Access Management (IAM) permet également de créer des rôles IAM personnalisés. Vous pouvez créer des rôles IAM personnalisés et leur attribuer une ou plusieurs autorisations. Ensuite, vous pouvez accorder le nouveau rôle à vos comptes principaux. Pour créer un modèle de contrôle des accès correspondant directement à vos besoins, utilisez des rôles personnalisés qui viendront s'ajouter aux rôles prédéfinis disponibles.

Ce document porte sur les rôles IAM pertinents pour Dataproc Metastore.

Avant de commencer

  • Consultez la documentation IAM.

Rôles Dataproc Metastore

Les rôles Identity and Access Management (IAM) pour Dataproc Metastore sont des ensembles constitués d'une ou plusieurs autorisations. Vous accordez des rôles aux comptes principaux pour leur permettre d'effectuer des actions sur les ressources Dataproc Metastore dans votre projet. Par exemple, le rôle Utilisateur Dataproc Metastore contient les autorisations metastore.*.get et metastore.*.list, qui permettent à un utilisateur d'obtenir et de répertorier les services de Dataproc Metastore, les importations de métadonnées, les sauvegardes et les opérations dans un projet.

Rôles de base

Le tableau suivant répertorie les rôles de base et les autorisations associées à chaque rôle :

ID de rôle Autorisations
roles/owner (rôles/propriétaire) metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore*.*.setIamPolicy
roles/editor (rôles/éditeur) metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
roles/viewer metastore.*.get
metastore.*.list
metastore.*.getIamPolicy

Notes :

  • "*" signifie des types de ressources, tels que "services", "importations", "sauvegardes", "emplacements" ou "opérations". Certaines autorisations ne sont pas définies pour certains types de ressources. Par exemple, create, update et delete ne sont pas des autorisations valides pour "emplacements".
  • Le rôle owner permet de contrôler totalement les ressources Dataproc Metastore et l'administration des stratégies IAM.
  • Le rôle editor permet de contrôler totalement les ressources Dataproc Metastore.
  • Le rôle viewer permet à un utilisateur d'obtenir et de répertorier les ressources Dataproc Metastore et les détails de la stratégie IAM.

Vous pouvez attribuer des rôles de base au niveau du projet à l'aide des rôles IAM Projet. Voici un récapitulatif des autorisations associées à ces rôles :

Rôle de projet Autorisations
Propriétaire du projet Toutes les autorisations de l'éditeur de projet, ainsi que celles permettant de gérer le contrôle d'accès au projet (get / set IamPolicy) et de configurer la facturation du projet
Éditeur de projet Toutes les autorisations lecteur de projet, ainsi que toutes les autorisations de projet pour les actions qui modifient l'état (créer, supprimer, mettre à jour, utiliser)
Lecteur de projets Toutes les autorisations de projet pour les actions en lecture seule préservant l'état (get, list)

Rôles prédéfinis

Le tableau suivant répertorie les rôles Dataproc Metastore prédéfinis (ou sélectionnés), ainsi que les autorisations associées à chaque rôle :

ID de rôle Autorisations
roles/metastore.admin metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.editor metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.user metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.metadataOperator metastore.imports.create
metastore.imports.update
metastore.imports.delete
metastore.services.export
metastore.backups.create
metastore.backups.delete
metastore.backups.use
metastore.services.restore
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list

Notes :

  • "*" signifie des types de ressources, tels que "services", "importations", "sauvegardes", "emplacements" ou "opérations". Certaines autorisations ne sont pas définies pour certains types de ressources. Par exemple, create, update et delete ne sont pas des autorisations valides pour "emplacements". En outre, les seules autorisations associées aux "opérations" sont get, list et delete.
  • Le rôle metastore.admin accorde un accès complet à toutes les ressources Dataproc Metastore, y compris l'administration des stratégies IAM.
  • Le rôle metastore.editor accorde un accès en lecture et en écriture à toutes les ressources Dataproc Metastore.
  • Le rôle metastore.user accorde un accès en lecture à toutes les ressources Dataproc Metastore.

Étape suivante