Identity and Access Management (IAM)를 사용하면 프로젝트 리소스에 대한 사용자 및 그룹 액세스를 제어할 수 있습니다. 이 문서에서는 Apache Spark용 서버리스와 관련된 IAM 권한과 해당 권한이 부여된 IAM 역할에 대해 집중적으로 다룹니다.
Apache Spark용 서버리스 권한
Apache Spark용 서버리스 권한은 서비스 계정을 포함한 사용자가 Apache Spark용 서버리스 리소스에서 작업을 수행할 수 있게 해줍니다. 예를 들어 dataproc.batches.create 권한이 있으면 프로젝트에서 Apache Spark용 서버리스 배치를 만들 수 있습니다.
사용자에게 권한을 직접 부여하는 대신 하나 이상의 권한이 번들로 포함된 역할을 부여합니다.
다음 표는 Apache Spark용 서버리스 API (메서드)를 호출하는 데 필요한 권한 목록입니다. 이 표는 각 서버리스 Apache Spark 리소스 (배치, 세션, sessionTemplates, 작업)와 연결된 API에 따라 구성됩니다. 각 역할에 포함된 Google Cloud 권한 목록은 Dataproc 역할을 참고하세요.
권한 범위: 다음 표에 나와 있는 Apache Spark용 서버리스 권한의 범위는 포함된 Google Cloud프로젝트 (cloud-platform 범위)입니다. 서비스 계정 권한을 참고하세요.
예:
dataproc.batches.create는 포함된 프로젝트에서 배치를 만들도록 허용합니다.dataproc.sessions.create는 포함된 프로젝트에서 대화형 세션을 만들도록 허용합니다.dataproc.operations.list는 포함된 프로젝트에 Dataproc 작업의 세부정보를 표시하도록 허용합니다.
배치 권한
| 메서드 | 필수 권한 |
|---|---|
| projects.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
1 dataproc.batches.create는 또한 gcloud 명령줄 도구에서 상태 업데이트를 가져오도록 허용하기 위해 dataproc.batches.get 및 dataproc.operations.get 권한이 필요합니다.
세션 권한
| 메서드 | 필수 권한 |
|---|---|
| projects.locations.sessions.create | dataproc.sessions.create 1 |
| projects.locations.sessions.delete | dataproc.sessions.delete |
| projects.locations.sessions.get | dataproc.sessions.get |
| projects.locations.sessions.list | dataproc.sessions.list |
| projects.locations.sessions.terminate | dataproc.sessions.terminate |
1 dataproc.sessions.create는 또한 gcloud 명령줄 도구에서 상태 업데이트를 가져오도록 허용하기 위해 dataproc.sessions.get 및 dataproc.operations.get 권한이 필요합니다.
세션 런타임 템플릿 권한
| 메서드 | 필수 권한 |
|---|---|
| projects.locations.sessionTemplates.create | dataproc.sessionTemplates.create 1 |
| projects.locations.sessionTemplates.delete | dataproc.sessionTemplates.delete |
| projects.locations.sessionTemplates.get | dataproc.sessionTemplates.get |
| projects.locations.sessionTemplates.list | dataproc.sessionTemplates.list |
| projects.locations.sessionTemplates.update | dataproc.sessionTemplates.update |
1 dataproc.sessionTemplates.create는 또한 gcloud 명령줄 도구에서 상태 업데이트를 가져오도록 허용하기 위해 dataproc.sessionTemplates.get 및 dataproc.operations.get 권한이 필요합니다.
작업 권한
| 메서드 | 필수 권한 |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
1 배치 작업을 취소하려면 dataproc.operations.cancel에 dataproc.batches.cancel 권한도 필요합니다.
Apache Spark용 서버리스 역할
Apache Spark용 서버리스 IAM 역할은 하나 이상의 권한 모음입니다.
프로젝트의 Apache Spark용 서버리스 리소스에서 작업을 수행할 수 있도록 사용자 또는 그룹에 역할을 부여할 수 있습니다. 예를 들어 Dataproc 뷰어 역할에는 dataproc.batches 및 dataproc.sessions 가져오기 및 나열 권한이 포함되며, 이를 통해 프로젝트의 Apache Spark용 서버리스 배치 및 세션을 가져오고 나열할 수 있습니다.
다음 표는 Apache Spark용 서버리스 IAM 역할과 각 역할과 관련된 권한 목록입니다.
| 역할 ID | 권한 |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.batches.cancel dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list dataproc.sessions.get dataproc.sessions.list dataproc.sessionTemplates.get dataproc.sessionTemplates.list |
프로젝트 역할
IAM 프로젝트 역할을 사용하여 프로젝트 수준에서 권한을 설정할 수도 있습니다. 다음은 IAM 프로젝트 역할과 관련된 권한을 요약해서 보여줍니다.
| 프로젝트 역할 | 권한 |
|---|---|
| 프로젝트 뷰어 | 상태를 보존하는 읽기 전용 작업에 대한 모든 프로젝트 권한(가져오기, 표시) |
| 프로젝트 편집자 | 모든 프로젝트 뷰어 권한에 더해 상태를 수정하는 작업에 대한 모든 프로젝트 권한(만들기, 삭제, 업데이트, 사용, 취소, 중지, 시작) |
| 프로젝트 소유자 | 모든 프로젝트 편집자 권한에 더해 프로젝트에 대한 액세스 제어를 관리하고(IamPolicy 가져오기/설정) 프로젝트 결제를 설정하는 권한 |
커스텀 역할
Google Cloud 콘솔 또는 gcloud 명령줄 도구를 통해 Dataproc 배치 권한을 커스텀 역할에 추가할 수 있습니다.
IAM 정책 관리
Google Cloud 콘솔, IAM API 또는 gcloud 명령줄 도구를 사용하여 IAM 정책을 가져오고 설정할 수 있습니다.
- Google Cloud 콘솔의 경우 Google Cloud 콘솔을 사용하여 액세스 제어를 참조하세요.
- API는 API를 사용하여 액세스 제어를 참조하세요.
gcloud명령줄 도구의 경우 Google Cloud CLI 명령줄 도구를 사용한 액세스 제어를 참고하세요.