Dataproc Metastore 定义了多个 Identity and Access Management (IAM) 角色。每个预定义角色都包含一组允许成员执行特定操作的 IAM 权限。向项目添加新成员时,您可以使用 IAM 政策为该成员指定一个或多个 IAM 角色。
Identity and Access Management (IAM) 还提供创建自定义 IAM 角色的功能。您可以创建自定义 IAM 角色,并为该角色分配一项或多项权限。然后,您可以将新角色授予成员。使用自定义角色可创建访问权限控制模型,该模型将直接映射到您的需求以及可用的预定义角色。
本文档重点介绍与 Dataproc Metastore 相关的 IAM 角色。
准备工作
- 阅读 IAM 文档。
Dataproc Metastore 角色
Identity and Access Management (IAM) Dataproc Metastore 角色是一个或多个权限的集合。您为成员授予角色,以允许他们对项目中的 Dataproc Metastore 资源执行操作。例如,Dataproc Metastore User 角色包含 metastore.*.get 和 metastore.*.list 权限,这些权限允许用户获取和列出项目中的 Dataproc Metastore 服务、元数据导入和操作。
基本角色
下表列出了与每个角色关联的基本角色和权限:
| 角色 ID | 权限 |
|---|---|
| roles/owner | metastore.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy metastore.*.setIamPolicy |
| roles/editor | metastore.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy |
| roles/viewer | metastore.*.get metastore.*.list metastore.*.getIamPolicy |
注意:
- “*”表示资源类型,例如“服务”、“导入”、“备份”、“位置”或“操作”。某些权限不适用于特定资源类型。例如,
create、update、delete不是有效的“位置”权限。 owner角色允许用户完全控制 Dataproc Metastore 资源和 IAM 政策管理。editor角色允许用户完全控制 Dataproc Metastore 资源。viewer角色允许用户获取和列出 Dataproc Metastore 资源和 IAM 政策详细信息。
您可以使用 IAM Project 角色在项目级分配基本角色。以下汇总了与 IAM Project 角色关联的权限:
| 项目角色 | 权限 |
|---|---|
| Project Owner | 拥有所有“项目修改者”权限,外加为项目管理访问控制的权限(获取/设置 IamPolicy)和设置项目结算的权限 |
| Project Editor | 拥有所有 Project Viewer 权限,外加可修改状态的操作(创建、删除、更新、使用)的所有项目权限 |
| 项目查看者 | 拥有不会修改状态的只读操作(获取、列出)的所有项目权限 |
预定义角色
下表列出了 Dataproc Metastore 预定义(或精选)角色以及与每个角色关联的权限:
| 角色 ID | 权限 |
|---|---|
| roles/metastore.admin | metastore.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy metastore.*.setIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
| roles/metastore.editor | metastore.*.create metastore.*.update metastore.*.delete metastore.*.get metastore.*.list metastore.*.getIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
| roles/metastore.user | metastore.*.get metastore.*.list metastore.*.getIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
| roles/metastore.metadataOperator | metastore.imports.create metastore.imports.update metastore.imports.delete metastore.services.export metastore.backups.create metastore.backups.delete metastore.backups.use metastore.services.restore metastore.*.get metastore.*.list metastore.*.getIamPolicy resourcemanager.projects.get resourcemanager.projects.list |
注意:
- “*”表示资源类型,例如“服务”、“导入”、“备份”、“位置”或“操作”。某些权限不适用于特定资源类型。例如,
create、update、delete不是有效的“位置”权限。此外,与“操作”关联的唯一权限是get、list、delete。 metastore.admin角色授予对所有 Dataproc Metastore 资源的完整访问权限,包括 IAM 政策管理。metastore.editor角色授予对所有 Dataproc Metastore 资源的读取和写入权限。metastore.user角色授予对所有 Dataproc Metastore 资源的读取权限。
后续步骤
- 了解如何创建自定义 IAM 角色。
- 了解如何授予和管理角色。
- 参阅 Dataproc Metastore IAM 权限映射。