Dataproc Metastore IAM 角色

Dataproc Metastore 定义了多个 Identity and Access Management (IAM) 角色。每个预定义角色都包含一组允许成员执行特定操作的 IAM 权限。向项目添加新成员时,您可以使用 IAM 政策为该成员指定一个或多个 IAM 角色。

Identity and Access Management (IAM) 还提供创建自定义 IAM 角色的功能。您可以创建自定义 IAM 角色,并为该角色分配一项或多项权限。然后,您可以将新角色授予成员。使用自定义角色可创建访问权限控制模型,该模型将直接映射到您的需求以及可用的预定义角色。

本文档重点介绍与 Dataproc Metastore 相关的 IAM 角色。

准备工作

  • 阅读 IAM 文档。

Dataproc Metastore 角色

Identity and Access Management (IAM) Dataproc Metastore 角色是一个或多个权限的集合。您为成员授予角色,以允许他们对项目中的 Dataproc Metastore 资源执行操作。例如,Dataproc Metastore User 角色包含 metastore.*.getmetastore.*.list 权限,这些权限允许用户获取和列出项目中的 Dataproc Metastore 服务、元数据导入和操作。

基本角色

下表列出了与每个角色关联的基本角色和权限:

角色 ID 权限
roles/owner metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
roles/editor metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
roles/viewer metastore.*.get
metastore.*.list
metastore.*.getIamPolicy

注意:

  • “*”表示资源类型,例如“服务”、“导入”、“备份”、“位置”或“操作”。某些权限不适用于特定资源类型。例如,createupdatedelete 不是有效的“位置”权限。
  • owner 角色允许用户完全控制 Dataproc Metastore 资源和 IAM 政策管理。
  • editor 角色允许用户完全控制 Dataproc Metastore 资源。
  • viewer 角色允许用户获取和列出 Dataproc Metastore 资源和 IAM 政策详细信息。

您可以使用 IAM Project 角色在项目级分配基本角色。以下汇总了与 IAM Project 角色关联的权限:

项目角色 权限
Project Owner 拥有所有“项目修改者”权限,外加为项目管理访问控制的权限(获取/设置 IamPolicy)和设置项目结算的权限
Project Editor 拥有所有 Project Viewer 权限,外加可修改状态的操作(创建、删除、更新、使用)的所有项目权限
项目查看者 拥有不会修改状态的只读操作(获取、列出)的所有项目权限

预定义角色

下表列出了 Dataproc Metastore 预定义(或精选)角色以及与每个角色关联的权限:

角色 ID 权限
roles/metastore.admin metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
metastore.*.setIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.editor metastore.*.create
metastore.*.update
metastore.*.delete
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.user metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
roles/metastore.metadataOperator metastore.imports.create
metastore.imports.update
metastore.imports.delete
metastore.services.export
metastore.backups.create
metastore.backups.delete
metastore.backups.use
metastore.services.restore
metastore.*.get
metastore.*.list
metastore.*.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list

注意:

  • “*”表示资源类型,例如“服务”、“导入”、“备份”、“位置”或“操作”。某些权限不适用于特定资源类型。例如,createupdatedelete 不是有效的“位置”权限。此外,与“操作”关联的唯一权限是 getlistdelete
  • metastore.admin 角色授予对所有 Dataproc Metastore 资源的完整访问权限,包括 IAM 政策管理。
  • metastore.editor 角色授予对所有 Dataproc Metastore 资源的读取和写入权限。
  • metastore.user 角色授予对所有 Dataproc Metastore 资源的读取权限。

后续步骤