Papéis de IAM do metastore do Dataproc

O metastore do Dataproc define vários papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Cada papel predefinido contém um conjunto de permissões do IAM que permitem que os principais executem determinadas ações. É possível usar uma política do IAM para conceder um ou mais papéis principais do IAM.

O gerenciamento de identidade e acesso (IAM, na sigla em inglês) também oferece a capacidade de criar papéis de IAM personalizados. Também é possível criar papéis de IAM personalizados e atribuir a eles uma ou mais permissões. Em seguida, é possível conceder o novo papel a seus principais. Use papéis personalizados para criar um modelo de controle de acesso que corresponda às suas necessidades, junto com os papéis predefinidos disponíveis.

Nesta página, nos concentramos nos papéis do IAM relevantes para o metastore do Dataproc.

Antes de começar

Papéis do metastore do Dataproc

Os papéis do metastore do Identity and Access Management (IAM) são um pacote de uma ou mais permissões. Você concede papéis aos principais para permitir que executem ações nos recursos do metastore do Dataproc no seu projeto. Por exemplo, o papel Usuário do metastore do Dataproc contém as permissões metastore.*.get e metastore.*.list, que permitem a um usuário acessar e listar o Dataproc Serviços do metastore, importações de metadados, backups e operações em um projeto.

Papéis básicos

A tabela a seguir lista os papéis básicos e as permissões associadas a cada um deles:

ID do papel Permissões
papéis/proprietário metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
papéis/editor metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
papéis/leitor metastore.*.get
metastore.*.list
metastore.*.getIamPolicy

Observações:

  • "*" significa tipos de recursos, como "serviços", "importações", "backups", "locais" ou "operações". Algumas permissões não estão definidas em determinados tipos de recursos. Por exemplo, create, update e delete não são permissões válidas para "locais".
  • O papel owner permite o controle total dos recursos do metastore do Dataproc e da administração de política do IAM.
  • O papel editor permite o controle total dos recursos do metastore do Dataproc.
  • O papel viewer permite que um usuário receba e liste os recursos do metastore do Dataproc e os detalhes da política do IAM.

É possível atribuir papéis básicos no nível do projeto usando os papéis do Projeto do IAM. Veja um resumo das permissões associadas aos papéis do Projeto do IAM:

Papel do projeto Permissões
Proprietário do projeto Todas as permissões do Editor do projeto acrescidas das permissões para gerenciar o controle de acesso do projeto (get/set IamPolicy) e configurar o faturamento do projeto
Editor do projeto Todas as permissões do Visualizador do projeto acrescidas de todas as permissões do projeto para ações que modificam o estado (criar, excluir, atualizar, usar, cancelar)
Visualizador do projeto Todas as permissões do projeto para ações somente leitura que preservam o estado (get, lista)

Papéis predefinidos

A tabela a seguir lista os papéis predefinidos (ou selecionados) do metastore do Dataproc e as permissões associadas a cada papel:

ID do papel Permissões
papéis/metastore.admin metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
papéis/metastore.editor metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
papéis/metastore.user metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
papéis/metastore.metadataOperator metastore.imports.create
metastore.imports.update
metastore.imports.delete
metastore.services.export
metastore.backups.create
metastore.backups.delete
metastore.backups.use
metastore.services.restore
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list

Observações:

  • "*" significa tipos de recursos, como "serviços", "importações", "backups", "locais" ou "operações". Algumas permissões não estão definidas em determinados tipos de recursos. Por exemplo, create, update e delete não são permissões válidas para "locais". Além disso, as únicas permissões associadas a "operações" são get, list e delete.
  • O papel metastore.admin concede acesso total a todos os recursos do metastore do Dataproc, incluindo a administração de políticas do IAM.
  • O papel metastore.editor concede acesso de leitura e gravação a todos os recursos do metastore do Dataproc.
  • O papel metastore.user concede acesso de leitura a todos os recursos do metastore do Dataproc.

A seguir