Mit Identity and Access Management (IAM) können Sie den Nutzer- und Gruppenzugriff auf Ihre Projektressourcen steuern. In diesem Dokument werden die für Dataproc Serverless erforderlichen IAM-Berechtigungen sowie die IAM-Rollen erläutert, mit denen diese Berechtigungen gewährt werden.
Berechtigungen für Dataproc Serverless
Mit Dataproc Serverless-Berechtigungen können Nutzer, einschließlich Dienstkonten, Aktionen auf Dataproc Serverless-Ressourcen ausführen. Mit der Berechtigung dataproc.batches.create können Sie beispielsweise Dataproc Serverless-Batches in Ihrem Projekt erstellen.
Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern Sie weisen ihnen
Rollen zu, die eine oder mehrere Berechtigungen enthalten.
In den folgenden Tabellen werden die Berechtigungen aufgeführt, die zum Aufrufen von Dataproc Serverless APIs (Methoden) erforderlich sind. Die Tabellen sind entsprechend den APIs organisiert, die mit den einzelnen Dataproc Serverless-Ressourcen (Batches, Sitzungen, Sitzungsvorlagen und Vorgänge) verbunden sind. Eine Liste der Google Cloud-Berechtigungen, die in den einzelnen Rollen enthalten sind, finden Sie unter Dataproc-Rollen.
Geltungsbereich der Berechtigung: Die in den folgenden Tabellen aufgeführten Berechtigungen für Dataproc Serverless gelten für das zugehörige Google Cloud-Projekt (cloud-platform-Bereich). Weitere Informationen finden Sie unter Dienstkontoberechtigungen.
Beispiele:
dataproc.batches.createberechtigt zum Erstellen von Batches im zugehörigen Projekt.dataproc.sessions.createberechtigt zum Erstellen einer interaktiven Sitzung im zugehörigen Projekt.dataproc.operations.listberechtigt zum Auflisten der Details von Dataproc-Vorgängen im zugehörigen Projekt.
Batchberechtigungen
| Methode | Erforderliche Berechtigungen |
|---|---|
| projects.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
1 dataproc.batches.create erfordert außerdem die Berechtigungen dataproc.batches.get und dataproc.operations.get, damit Statusaktualisierungen über das gcloud-Befehlszeilentool abgerufen werden können.
Sitzungsberechtigungen
| Methode | Erforderliche Berechtigungen |
|---|---|
| projects.locations.sessions.create | dataproc.sessions.create 1 |
| projects.locations.sessions.delete | dataproc.sessions.delete |
| projects.locations.sessions.get | dataproc.sessions.get |
| projects.locations.sessions.list | dataproc.sessions.list |
| projects.locations.sessions.terminate | dataproc.sessions.terminate |
1 dataproc.sessions.create erfordert außerdem die Berechtigungen dataproc.sessions.get und dataproc.operations.get, damit Statusaktualisierungen über das gcloud-Befehlszeilentool abgerufen werden können.
Berechtigungen für Sitzungsvorlagen
| Methode | Erforderliche Berechtigungen |
|---|---|
| projects.locations.sessionTemplates.create | dataproc.sessionTemplates.create 1 |
| projects.locations.sessionTemplates.delete | dataproc.sessionTemplates.delete |
| projects.locations.sessionTemplates.get | dataproc.sessionTemplates.get |
| projects.locations.sessionTemplates.list | dataproc.sessionTemplates.list |
| projects.locations.sessionTemplates.update | dataproc.sessionTemplates.update |
1 dataproc.sessionTemplates.create erfordert außerdem die Berechtigungen dataproc.sessionTemplates.get und dataproc.operations.get, damit Statusaktualisierungen über das gcloud-Befehlszeilentool abgerufen werden können.
Berechtigungen für Vorgänge
| Methode | Erforderliche Berechtigung(en) |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
1 Um Batchvorgänge abzubrechen, benötigt dataproc.operations.cancel außerdem die Berechtigung dataproc.batches.cancel.
Dataproc Serverless-Rollen
Dataproc Serverless-IAM-Rollen enthalten eine oder mehrere Berechtigungen.
Sie erteilen Nutzern oder Gruppen Rollen, damit sie Aktionen für die Dataproc-Serverless-Ressourcen in Ihrem Projekt ausführen können. Die Rolle Dataproc-Betrachter umfasst beispielsweise die Berechtigungen dataproc.batches und dataproc.sessions zum Abrufen und Auflisten, mit denen Sie Dataproc Serverless-Batches und ‑Sitzungen in einem Projekt abrufen und auflisten können.
In der folgenden Tabelle sind die Dataproc-Serverless-IAM-Rollen und die Berechtigungen aufgeführt, die mit jeder Rolle verknüpft sind:
| Rollen-ID | Berechtigungen |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.batches.cancel dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list dataproc.sessions.get dataproc.sessions.list dataproc.sessionTemplates.get dataproc.sessionTemplates.list |
Projektrollen
Sie können auch Berechtigungen auf Projektebene festlegen, indem Sie die IAM- Projektrollen verwenden. Nachfolgend finden Sie eine Übersicht über alle Berechtigungen, die mit IAM-Projektrollen verknüpft sind.
| Projektrolle | Berechtigungen |
|---|---|
| Projektbetrachter | Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status (get, list) beibehalten |
| Projektbearbeiter | Alle Berechtigungen des Projektbetrachters sowie alle Projektberechtigungen für Aktionen, die den Status ändern (erstellen, löschen, aktualisieren, verwenden, abbrechen, anhalten, starten) |
| Projektinhaber | Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffskontrolle für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung |
Benutzerdefinierte Rollen
Benutzerdefinierten Rollen können Dataproc-Batchberechtigungen über die Google Cloud Console oder das gcloud-Befehlszeilentool hinzugefügt werden.
IAM-Richtlinien verwalten
Sie können IAM-Richtlinien mithilfe der Google Cloud Console, der IAM API oder des gcloud-Befehlszeilentools abrufen und festlegen.
- Informationen zur Google Cloud Console finden Sie im entsprechenden Abschnitt unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
- Weitere Informationen zur API finden Sie unter Zugriffssteuerung über die API.
- Informationen zum
gcloud-Befehlszeilentool finden Sie im entsprechenden Abschnitt unter Zugriffssteuerung über die Google Cloud CLI.