Dataproc Metastore IAM ロール

Dataproc Metastore は、いくつかの Identity and Access Management(IAM)ロールを定義します。各事前定義ロールには、メンバーが特定のアクションを実行できる一連の IAM 権限が含まれています。プロジェクトに新しいメンバーを追加する際は、IAM ポリシーを使用してそのメンバーに 1 つ以上の IAM ロールを割り当てることができます。

Identity and Access Management(IAM)では、カスタマイズされた IAM ロールを作成することもできます。カスタムの IAM のロールを作成し、このロールに 1 つ以上の権限を割り当てることができます。その後、新しいロールをメンバーに付与できます。カスタムロールを使用して、使用可能な事前定義ロールとともにニーズに直接対応するアクセス制御モデルを作成します。

このドキュメントでは、Dataproc Metastore に関連する IAM ロールについて説明します。

始める前に

Dataproc Metastore のロール

Identity and Access Management(IAM)の Dataproc Metastore ロールは、1 つ以上の権限をまとめたものです。メンバーがプロジェクトの Dataproc Metastore リソースを操作できるようにロールを付与します。たとえば、Dataproc Metastore ユーザーのロールには、metastore.*.getmetastore.*.list権限が含まれています。これらの権限を付与されたユーザーは、プロジェクトの Dataproc Metastore サービス、メタデータのインポート、オペレーションを取得して一覧表示できます。

基本ロール

次の表は、基本ロールとそれぞれのロールに関連付けられた権限を列挙したものです。

役割 ID 権限
roles/owner metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
roles/editor metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
roles/viewer metastore.*.get
metastore.*.list
metastore.*.getIamPolicy

注:

  • 「*」は「service」、「import」、「backup」、「location」、「operation」などのリソースタイプを表します。特定のリソースタイプでは、定義されていない権限もあります。たとえば、createupdatedelete は、「locations」に対しては有効な権限ではありません。
  • owner ロールを使用すると、Dataproc Metastore リソースと IAM ポリシー管理を完全に管理できます。
  • editor ロールを使用すると、Dataproc Metastore リソースを完全に管理できます。
  • viewer ロールを使用すると、ユーザーが Dataproc Metastore リソースと IAM ポリシーの詳細を取得して一覧表示できます。

IAM の Project ロールを使用すると、基本ロールをプロジェクト レベルで割り当てることができます。IAM の Project ロールに関連付けられた権限の概要は、次のとおりです。

プロジェクトの役割 権限
プロジェクト所有者 すべてのプロジェクト編集者権限+プロジェクトに対するアクセス制御を管理(get/set IamPolicy)し、プロジェクト課金をセットアップするための権限
プロジェクト編集者 プロジェクト閲覧者のすべての権限に加え、状態を変更するアクション(create、delete、update、use)に関するすべてのプロジェクト権限
プロジェクト閲覧者 状態を変更しない読み取り専用アクション(get、list)に関するすべてのプロジェクト権限

事前定義された役割

次の表は、Dataproc Metastore の事前定義(まとめられた)ロールと、それぞれのロールに関連付けられた権限を列挙したものです。

役割 ID 権限
roles/metastore.admin metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.editor metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.user metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.metadataOperator metastore.imports.create
metastore.imports.update
metastore.imports.delete
metastore.services.export
metastore.backups.create
metastore.backups.delete
metastore.backups.use
metastore.services.restore
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list

注:

  • 「*」は「service」、「import」、「backup」、「location」、「operation」などのリソースタイプを表します。特定のリソースタイプでは、定義されていない権限もあります。たとえば、createupdatedelete は、「locations」に対しては有効な権限ではありません。また、「operations」に関連する権限は getlistdelete のみです。
  • metastore.admin ロールでは、IAM ポリシー管理を含むすべての Dataproc Metastore リソースに対する完全アクセス権が付与されます。
  • metastore.editor ロールでは、すべての Dataproc Metastore リソースに対する読み取り / 書き込み権限が付与されます。
  • metastore.user ロールでは、すべての Dataproc Metastore リソースに対する読み取りアクセス権が付与されます。

次のステップ