Ruoli IAM di Dataproc Metastore

Dataproc Metastore definisce diversi ruoli Identity and Access Management (IAM). Ogni ruolo predefinito contiene un set di autorizzazioni IAM che consentono alle entità di eseguire determinate azioni. Puoi utilizzare un criterio IAM per assegnare a uno o più ruoli IAM principali.

Identity and Access Management (IAM) consente inoltre di creare ruoli IAM personalizzati. Puoi creare ruoli IAM personalizzati e assegnare al ruolo una o più autorizzazioni. Successivamente, puoi concedere il nuovo ruolo alle entità. Utilizza i ruoli personalizzati per creare un modello di controllo dell'accesso che si adatti direttamente alle tue esigenze, oltre ai ruoli predefiniti disponibili.

Questa pagina è incentrata sui ruoli IAM pertinenti per Dataproc Metastore.

Prima di iniziare

  • Leggi la documentazione relativa a IAM.

Ruoli Dataproc Metastore

I ruoli Dataproc Metastore di Identity and Access Management (IAM) sono un bundle di una o più autorizzazioni. Puoi concedere ruoli alle entità per consentire loro di eseguire azioni sulle risorse Metastore di Dataproc nel tuo progetto. Ad esempio, il ruolo Utente Dataproc Metastore contiene le autorizzazioni metastore.*.get e metastore.*.list, che consentono a un utente di ottenere ed elencare i servizi, le importazioni, i backup e le operazioni dei metadati di Dataproc Metastore in un progetto.

Ruoli di base

La tabella riportata di seguito elenca i ruoli di base e le autorizzazioni associate a ciascun ruolo:

ID ruolo Autorizzazioni
roles/owner metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
roles/editor metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
roles/viewer metastore.*.get
metastore.*.list
metastore.*.getIamPolicy

Note:

  • "*" indica i tipi di risorse, come "services," "imports," "backups," "locations," o "operations." Alcune autorizzazioni non sono definite per determinati tipi di risorse. Ad esempio, create, update e delete non sono autorizzazioni valide per "locations." Inoltre, le uniche autorizzazioni associate a "operations" sono get, list, cancel e delete.
  • Il ruolo owner consente il controllo completo delle risorse di Dataproc Metastore e dell'amministrazione dei criteri IAM.
  • Il ruolo editor consente il controllo completo delle risorse di Dataproc Metastore.
  • Il ruolo viewer consente a un utente di ottenere ed elencare le risorse Dataproc Metastore e i dettagli del criterio IAM.

Puoi assegnare ruoli di base a livello di progetto utilizzando i ruoli IAM Progetto. Ecco un riepilogo delle autorizzazioni associate ai ruoli del progetto IAM:

Ruolo progetto Autorizzazioni
Proprietario progetto Tutte le autorizzazioni dell'Editor di progetto e le autorizzazioni per gestire il controllo dell'accesso al progetto (get/set IamPolicy) e per configurare la fatturazione
Editor progetto Tutte le autorizzazioni Visualizzatore progetto più tutte le autorizzazioni progetto per azioni che modificano lo stato (creazione, eliminazione, aggiornamento, utilizzo)
Visualizzatore progetto Tutte le autorizzazioni del progetto per le azioni di sola lettura che mantengono lo stato (get, list)

Ruoli predefiniti

La tabella riportata di seguito elenca i ruoli predefiniti (o curati) predefiniti di Dataproc Metastore e le autorizzazioni associate a ogni ruolo:

ID ruolo Autorizzazioni
roles/metastore.admin metastore.services.create
metastore.services.update
metastore.services.delete
metastore.services.get
metastore.services.list
metastore.services.getIamPolicy
metastore.services.setIamPolicy
metastore.services.export
metastore.services.restore
metastore.imports.create
metastore.imports.update
metastore.imports.delete
metastore.imports.get
metastore.imports.list
metastore.backups.create
metastore.backups.delete
metastore.backups.get
metastore.backups.list
metastore.backups.getIamPolicy
metastore.backups.setIamPolicy
metastore.locations.get
metastore.locations.list
metastore.operations.get
metastore.operations.list
metastore.operations.cancel
metastore.operations.delete
metastore.federations.create
metastore.federations.update
metastore.federations.delete
metastore.federations.get
metastore.federations.list
metastore.federations.getIamPolicy
metastore.federations.setIamPolicy
roles/metastore.editor metastore.services.create
metastore.services.update
metastore.services.delete
metastore.services.get
metastore.services.list
metastore.services.getIamPolicy
metastore.services.export
metastore.services.restore
metastore.imports.create
metastore.imports.update
metastore.imports.delete
metastore.imports.get
metastore.imports.list
metastore.backups.create
metastore.backups.delete
metastore.backups.get
metastore.backups.list
metastore.backups.getIamPolicy
metastore.locations.get
metastore.locations.list
metastore.operations.get
metastore.operations.list
metastore.operations.cancel
metastore.operations.delete
metastore.federations.create
metastore.federations.update
metastore.federations.delete
metastore.federations.get
metastore.federations.list
metastore.federations.getIamPolicy
roles/metastore.user metastore.services.get
metastore.services.list
metastore.services.getIamPolicy
metastore.imports.get
metastore.imports.list
metastore.backups.get
metastore.backups.list
metastore.backups.getIamPolicy
metastore.locations.get
metastore.locations.list
metastore.operations.get
metastore.operations.list
metastore.federations.get
metastore.federations.list
metastore.federations.getIamPolicy
roles/metastore.metadataOperator metastore.services.get
metastore.services.list
metastore.services.getIamPolicy
metastore.imports.create
metastore.imports.update
metastore.imports.delete
metastore.imports.get
metastore.imports.list
metastore.backups.create
metastore.backups.delete
metastore.backups.get
metastore.backups.list
metastore.backups.use
metastore.locations.get
metastore.locations.list
metastore.operations.get
metastore.operations.list
metastore.federations.get
metastore.federations.list
metastore.federations.getIamPolicy

Note:

  • Alcune autorizzazioni non sono definite per determinati tipi di risorse. Ad esempio, create, update e delete non sono autorizzazioni valide per "locations." Inoltre, le uniche autorizzazioni associate a "operations" sono get, list, cancel e delete.
  • Il ruolo metastore.admin concede l'accesso completo a tutte le risorse Dataproc Metastore, inclusa l'amministrazione dei criteri IAM.
  • Il ruolo metastore.editor concede l'accesso in lettura e scrittura a tutte le risorse Dataproc Metastore.
  • Il ruolo metastore.user concede l'accesso in lettura a tutte le risorse Dataproc Metastore.
  • I ruoli metastore.metadataOperator, metastore.metadataOwner e metastore.metadataEditor concedono l'accesso in lettura e modifica ai metadati dei database e alle tabelle in tali database.
  • I ruoli metastore.metadataViewer e 'metastore.metadataUser consentono l'accesso in lettura ai metadati dei database e delle tabelle al loro interno.

Ruoli predefiniti per le risorse di metadati

Nella tabella seguente sono elencati i ruoli predefiniti (o curati) di Dataproc Metastore per le risorse di metadati e i dettagli associati a ogni ruolo:

Ruolo predefinito Descrizione Autorizzazioni Operazioni che un'entità può eseguire quando gli è assegnato questo ruolo
Ruolo Proprietario dei metadati (metastore.metadataOwner) Concede l'accesso completo alle risorse di metadati e ai relativi criteri IAM. metastore.services.get
metastore.services.list
metastore.services.getIamPolicy
metastore.services.use
metastore.databases.*
metastore.tables.*		 In un servizio:
  • Può accedere ai database
  • Può elencare i database
  • Può creare database
  • Può eliminare i database
  • Può aggiornare i database
  • Può impostare il criterio di controllo dell'accesso IAM sui database
  • Può ottenere il criterio di controllo dell'accesso IAM sui database
  • Può accedere alle tabelle
  • Può elencare le tabelle
  • Può creare tabelle
  • Può eliminare le tabelle
  • Può aggiornare le tabelle
  • Può impostare il criterio di controllo dell'accesso IAM sulle tabelle
  • Può recuperare il criterio di controllo dell'accesso IAM sulle tabelle
  • Può accedere alle partizioni
  • Può elencare le partizioni
  • Può aggiungere partizioni
  • Può eliminare le partizioni
  • Può aggiornare le partizioni
In un database:
  • Può accedere ai database
  • Può eliminare i database
  • Può aggiornare i database
  • Può impostare il criterio di controllo dell'accesso IAM sui database
  • Può ottenere il criterio di controllo dell'accesso IAM sui database
  • Può accedere alle tabelle
  • Può elencare le tabelle
  • Può creare tabelle
  • Può eliminare le tabelle
  • Può aggiornare le tabelle
  • Può impostare il criterio di controllo dell'accesso IAM sulle tabelle
  • Può recuperare il criterio di controllo dell'accesso IAM sulle tabelle
  • Può accedere alle partizioni
  • Può elencare le partizioni
  • Può aggiungere partizioni
  • Può eliminare le partizioni
  • Può aggiornare le partizioni
In una tabella:
  • Può accedere alle tabelle
  • Può eliminare le tabelle
  • Può aggiornare le tabelle
  • Può impostare il criterio di controllo dell'accesso IAM sulle tabelle
  • Può recuperare il criterio di controllo dell'accesso IAM sulle tabelle
  • Può accedere alle partizioni
  • Può elencare le partizioni
  • Può aggiungere partizioni
  • Può eliminare le partizioni
  • Può aggiornare le partizioni
Ruolo Editor metadati (metastore.metadataEditor) Concede l'accesso a un'entità per creare e modificare le risorse di metadati. metastore.services.get
metastore.services.use
metastore.databases.create
metastore.databases.update
metastore.databases.delete
metastore.databases.get
metastore.databases.list
metastore.databases.getIamPolicy
metastore.tables.create
metastore.tables.update
metastore.tables.delete
metastore.tables.get
metastore.tables.list
metastore.tables.getIamPolicy 		In un servizio:
  • Può accedere ai database
  • Può elencare i database
  • Può creare database
  • Può eliminare i database
  • Può aggiornare i database
  • Può ottenere il criterio di controllo dell'accesso IAM sui database
  • Può accedere alle tabelle
  • Può elencare le tabelle
  • Può creare tabelle
  • Può eliminare le tabelle
  • Può aggiornare le tabelle
  • Può recuperare il criterio di controllo dell'accesso IAM sulle tabelle
  • Può accedere alle partizioni
  • Può elencare le partizioni
  • Può aggiungere partizioni
  • Può eliminare le partizioni
  • Può aggiornare le partizioni
In un database:
  • Può accedere ai database
  • Può eliminare i database
  • Può aggiornare i database
  • Può ottenere il criterio di controllo dell'accesso IAM sui database
  • Può accedere alle tabelle
  • Può elencare le tabelle
  • Può creare tabelle
  • Può eliminare le tabelle
  • Può aggiornare le tabelle
  • Può recuperare il criterio di controllo dell'accesso IAM sulle tabelle
  • Può accedere alle partizioni
  • Può elencare le partizioni
  • Può aggiungere partizioni
  • Può eliminare le partizioni
  • Può aggiornare le partizioni
In una tabella:
  • Può accedere alle tabelle
  • Può eliminare le tabelle
  • Può aggiornare le tabelle
  • Può recuperare il criterio di controllo dell'accesso IAM sulle tabelle
  • Può accedere alle partizioni
  • Può elencare le partizioni
  • Può aggiungere partizioni
  • Può eliminare le partizioni
  • Può aggiornare le partizioni
Ruolo Visualizzatore metadati (metastore.metadataViewer) Concede l'accesso a un'entità per visualizzare le risorse di metadati. metastore.services.get
metastore.services.use
metastore.databases.get
metastore.databases.list
metastore.databases.getIamPolicy
metastore.tables.get
metastore.tables.list
metastore.tables.getIamPolicy		 In un servizio:
  • Può accedere ai database
  • Può elencare i database
  • Può ottenere il criterio di controllo dell'accesso IAM sui database
  • Può accedere alle tabelle
  • Può elencare le tabelle
  • Può recuperare il criterio di controllo dell'accesso IAM sulle tabelle
  • Può accedere alle partizioni
  • Può elencare le partizioni
In un database:
  • Può accedere ai database
  • Può ottenere il criterio di controllo dell'accesso IAM sui database
  • Può accedere alle tabelle
  • Può elencare le tabelle
  • Può recuperare il criterio di controllo dell'accesso IAM sulle tabelle
  • Può accedere alle partizioni
  • Può elencare le partizioni
In una tabella:
  • Può accedere alle tabelle
  • Può recuperare il criterio di controllo dell'accesso IAM sulle tabelle
  • Può accedere alle partizioni
  • Può elencare le partizioni
Ruolo Utente metadati (metastore.metadataUser) Concede l'accesso a un'entità per utilizzare un endpoint gRPC del servizio Dataproc Metastore. Deve essere concesso nel criterio del livello di servizio o superiore. metastore.services.get
metastore.services.use
metastore.databases.get
metastore.databases.list		 In un servizio:
  • Può accedere ai database
  • Può elencare i database
  • Possono chiamare metodi non correlati a specifiche risorse di metadati
Ruolo utente federazione (metastore.federationAccessor) Concede l'accesso alla risorsa federazione del metastore. Deve essere concesso nel criterio del livello di servizio o superiore. metastore.federations.use Concede l'accesso alla risorsa federazione del metastore.
  • "*" indica metodi come, "create," "update," "delete," "get," o "list."
  • Le autorizzazioni per database e tabelle vengono utilizzate con i servizi Dataproc Metastore abilitati per gRPC. Non hanno alcun effetto se utilizzati con servizi che utilizzano endpoint Thrift.

Passaggi successivi