서버리스 Dataproc 권한 및 IAM 역할

Identity and Access Management (IAM)를 사용하면 프로젝트 리소스에 대한 사용자 및 그룹 액세스를 제어할 수 있습니다. 이 문서에서는 서버리스 Dataproc과 관련된 IAM 권한과 해당 권한이 부여된 IAM 역할에 대해 집중적으로 다룹니다.

서버리스 Dataproc 권한

서버리스 Dataproc 권한은 서비스 계정을 포함한 사용자가 서버리스 Dataproc 리소스에서 작업을 수행할 수 있게 해줍니다. 예를 들어 dataproc.batches.create 권한이 있으면 프로젝트에서 서버리스 Dataproc 배치를 만들 수 있습니다. 사용자에게 권한을 직접 부여하는 대신 하나 이상의 권한이 번들로 포함된 역할을 부여합니다.

다음 표는 서버리스 Dataproc API(메서드)를 호출하는 데 필요한 권한 목록입니다. 이 표는 각 Dataproc Serverless 리소스(배치, 세션, 세션 템플릿, 작업)와 연결된 API에 따라 구성됩니다. 각 역할에 포함된 Google Cloud 권한 목록은 Dataproc 역할을 참고하세요.

권한 범위: 다음 표에 나와 있는 Dataproc Serverless 권한의 범위는 포함된 Google Cloud 프로젝트(cloud-platform 범위)입니다. 서비스 계정 권한을 참조하세요.

예:

  • dataproc.batches.create는 포함된 프로젝트에서 배치를 만들도록 허용합니다.
  • dataproc.sessions.create는 포함된 프로젝트에서 대화형 세션을 만들도록 허용합니다.
  • dataproc.operations.list는 포함된 프로젝트에 Dataproc 작업의 세부정보를 표시하도록 허용합니다.

배치 권한

메서드 필수 권한
projects.locations.batches.create dataproc.batches.create 1
projects.locations.batches.delete dataproc.batches.delete
projects.locations.batches.get dataproc.batches.get
projects.locations.batches.list dataproc.batches.list

1 dataproc.batches.create는 또한 gcloud 명령줄 도구에서 상태 업데이트를 가져오도록 허용하기 위해 dataproc.batches.getdataproc.operations.get 권한이 필요합니다.

세션 권한

메서드 필수 권한
projects.locations.sessions.create dataproc.sessions.create 1
projects.locations.sessions.delete dataproc.sessions.delete
projects.locations.sessions.get dataproc.sessions.get
projects.locations.sessions.list dataproc.sessions.list
projects.locations.sessions.terminate dataproc.sessions.terminate

1 dataproc.sessions.create는 또한 gcloud 명령줄 도구에서 상태 업데이트를 가져오도록 허용하기 위해 dataproc.sessions.getdataproc.operations.get 권한이 필요합니다.

세션 런타임 템플릿 권한

메서드 필수 권한
projects.locations.sessionTemplates.create dataproc.sessionTemplates.create 1
projects.locations.sessionTemplates.delete dataproc.sessionTemplates.delete
projects.locations.sessionTemplates.get dataproc.sessionTemplates.get
projects.locations.sessionTemplates.list dataproc.sessionTemplates.list
projects.locations.sessionTemplates.update dataproc.sessionTemplates.update

1 dataproc.sessionTemplates.create는 또한 gcloud 명령줄 도구에서 상태 업데이트를 가져오도록 허용하기 위해 dataproc.sessionTemplates.getdataproc.operations.get 권한이 필요합니다.

작업 권한

메서드 필수 권한
projects.regions.operations.get dataproc.operations.get
projects.regions.operations.list dataproc.operations.list
projects.regions.operations.cancel 1 dataproc.operations.cancel
projects.regions.operations.delete dataproc.operations.delete
projects.regions.operations.getIamPolicy dataproc.operations.getIamPolicy
projects.regions.operations.setIamPolicy dataproc.operations.setIamPolicy

1 배치 작업을 취소하려면 dataproc.operations.canceldataproc.batches.cancel 권한도 필요합니다.

서버리스 Dataproc 역할

서버리스 Dataproc IAM 역할은 하나 이상의 권한 모음입니다. 프로젝트의 Dataproc Serverless 리소스에서 작업을 수행할 수 있도록 사용자 또는 그룹에 역할을 부여할 수 있습니다. 예를 들어 Dataproc 뷰어 역할에는 dataproc.batchesdataproc.sessions 가져오기 및 나열 권한이 포함되며, 이를 통해 프로젝트의 Dataproc Serverless 배치 및 세션을 가져오고 나열할 수 있습니다.

다음 표는 서버리스 Dataproc IAM 역할과 각 역할과 관련된 권한 목록입니다.

역할 ID 권한
roles/dataproc.admin dataproc.batches.cancel
dataproc.batches.create
dataproc.batches.delete
dataproc.batches.get
dataproc.batches.list
dataproc.batches.cancel
dataproc.sessions.create
dataproc.sessions.delete
dataproc.sessions.get
dataproc.sessions.list
dataproc.sessions.terminate
dataproc.sessionTemplates.create
dataproc.sessionTemplates.delete
dataproc.sessionTemplates.get
dataproc.sessionTemplates.list
dataproc.sessionTemplates.update
roles/dataproc.editor dataproc.batches.cancel
dataproc.batches.create
dataproc.batches.delete
dataproc.batches.get
dataproc.batches.list
dataproc.sessions.create
dataproc.sessions.delete
dataproc.sessions.get
dataproc.sessions.list
dataproc.sessions.terminate
dataproc.sessionTemplates.create
dataproc.sessionTemplates.delete
dataproc.sessionTemplates.get
dataproc.sessionTemplates.list
dataproc.sessionTemplates.update
roles/dataproc.viewer dataproc.batches.get
dataproc.batches.list
dataproc.sessions.get
dataproc.sessions.list
dataproc.sessionTemplates.get
dataproc.sessionTemplates.list

프로젝트 역할

IAM 프로젝트 역할을 사용하여 프로젝트 수준에서 권한을 설정할 수도 있습니다. 다음은 IAM 프로젝트 역할과 관련된 권한을 요약해서 보여줍니다.

프로젝트 역할 권한
프로젝트 뷰어 상태를 보존하는 읽기 전용 작업에 대한 모든 프로젝트 권한(가져오기, 표시)
프로젝트 편집자 모든 프로젝트 뷰어 권한에 더해 상태를 수정하는 작업에 대한 모든 프로젝트 권한(만들기, 삭제, 업데이트, 사용, 취소, 중지, 시작)
프로젝트 소유자 모든 프로젝트 편집자 권한에 더해 프로젝트에 대한 액세스 제어를 관리하고(IamPolicy 가져오기/설정) 프로젝트 결제를 설정하는 권한

맞춤 역할

Google Cloud 콘솔 또는 gcloud 명령줄 도구를 통해 Dataproc 배치 권한을 커스텀 역할에 추가할 수 있습니다.

IAM 정책 관리

Google Cloud 콘솔, IAM API 또는 gcloud 명령줄 도구를 사용하여 Cloud IAM 정책을 가져오고 설정할 수 있습니다.

다음 단계