Visão geral
O gerenciamento de identidade e acesso (IAM, na sigla em inglês) permite controlar o acesso de usuários e grupos aos recursos do seu projeto. Este documento se concentra nas permissões do IAM relevantes para o Dataproc sem servidor e nos papéis do IAM que concedem essas permissões.
Permissões do Dataproc sem servidor
As permissões do Dataproc sem servidor permitem que os usuários, incluindo
contas de serviço,
executem ações nos recursos sem servidor
do Dataproc. Por exemplo, a permissão dataproc.batches.create possibilita a criação de lotes do Dataproc sem servidor no projeto.
Você não concede permissões diretamente aos usuários. Em vez disso, você concede papéis, que já têm uma ou mais permissões incluídas.
As tabelas a seguir listam as permissões necessárias para chamar APIs (métodos) sem servidor do Dataproc. As tabelas são organizadas de acordo com as APIs associadas a cada recurso do Dataproc sem servidor (lotes, sessões, sessionTemplates e operações). Para uma lista das permissões do Google Cloud incluídas em cada papel, consulte Papéis do Dataproc.
Escopo da permissão: o escopo das permissões sem servidor do Dataproc
listadas nas tabelas a seguir representa o projeto contido no
Google Cloud (escopo cloud-platform). Consulte
Permissões da conta de serviço.
Exemplos:
dataproc.batches.createpermite a criação de lotes no projeto que o contém.dataproc.sessions.createpermite a criação de uma sessão interativa no projeto que a contém.dataproc.operations.listpermite a listagem de detalhes de operações do Dataproc no projeto contido.
Permissões de lote
| Método | Permissões necessárias |
|---|---|
| projects.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
dataproc.batches.createtambém requer as permissõesdataproc.batches.getedataproc.operations.getpara receber atualizações de status da ferramenta de linha de comandogcloud.
Permissões da sessão
| Método | Permissões necessárias |
|---|---|
| projects.locations.sessions.create | dataproc.sessions.create 1 |
| projects.locations.sessions.delete | dataproc.sessions.delete |
| projects.locations.sessions.get | dataproc.sessions.get |
| projects.locations.sessions.list | dataproc.sessions.list |
| projects.locations.sessions.terminate | dataproc.sessions.terminate |
1 dataproc.sessions.create também requer as permissões dataproc.sessions.get e
dataproc.operations.get para receber atualizações de status
da ferramenta de linha de comando gcloud.
Permissões do modelo de ambiente de execução da sessão
| Método | Permissões necessárias |
|---|---|
| projects.locations.sessionTemplates.create | dataproc.sessionTemplates.create 1 |
| projects.locations.sessionTemplates.delete | dataproc.sessionTemplates.delete |
| projects.locations.sessionTemplates.get | dataproc.sessionTemplates.get |
| projects.locations.sessionTemplates.list | dataproc.sessionTemplates.list |
| projects.locations.sessionTemplates.update | dataproc.sessionTemplates.update |
dataproc.sessionTemplates.createtambém requer as permissõesdataproc.sessionTemplates.getedataproc.operations.getpara receber atualizações de status da ferramenta de linha de comandogcloud.
Permissões de operações
| Método | Permissão exigida |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
- Para cancelar operações em lote, o
dataproc.operations.canceltambém requer a permissãodataproc.batches.cancel.
Papéis do Dataproc sem servidor
Os papéis do IAM sem servidor do Dataproc são um pacote de uma ou mais permissões.
Atribua papéis a usuários ou grupos para permitir que executem ações nos recursos sem servidor do Dataproc no seu projeto. Por exemplo, o papel Leitor do Dataproc contém as
permissões de recebimento e listagem dataproc.batches e dataproc.sessions, que
permitem receber e listar lotes e sessões sem servidor do Dataproc em um projeto.
A tabela a seguir lista os papéis do IAM sem servidor do Dataproc e as permissões associadas a cada um deles:
| ID do papel | Permissões |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.sessions.delete dataproc.batches.get dataproc.batches.list dataproc.dataproces.cancel dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataprocTemplate.sessionTemplates.create dataproc.sessionTemplates.delete.sessionTemplates.create dataproc.sessionTemplates.delete.sessionTemplates.create dataproc.sessionTemplates.delete |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get ViewModel. |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list dataproc.sessions.get dataproc.sessions.list dataproc.sessionTemplates.get dataproc.sessionTemplates.list |
Papéis do projeto
Você também pode definir permissões no nível do projeto usando os papéis do Projeto do IAM. Este é um resumo das permissões associadas aos papéis do Projeto do IAM:
| Papel do projeto | Permissões |
|---|---|
| Visualizador do projeto | Todas as permissões do projeto para ações somente leitura que preservam o estado (get, lista) |
| Editor do projeto | Todas as permissões do Visualizador do projeto acrescidas de todas as permissões do projeto para ações que modificam o estado (criar, excluir, atualizar, usar, cancelar, interromper, iniciar) |
| Proprietário do projeto | Todas as permissões do Editor do projeto acrescidas das permissões para gerenciar o controle de acesso do projeto (get/set IamPolicy) e configurar o faturamento do projeto |
Papéis personalizados
É possível adicionar permissões em lote do Dataproc a papéis personalizados por meio do console do Google Cloud ou da ferramenta de linha de comando gcloud.
Gerenciamento do IAM
É possível receber e definir políticas do IAM usando o console do Google Cloud, a API IAM ou a
ferramenta de linha de comando gcloud.
- Para o console do Google Cloud, consulte Controle de acesso por meio do console do Google Cloud.
- Para a API, consulte Controle de acesso via API.
- Para a ferramenta de linha de comando
gcloud, consulte Controle de acesso por meio da ferramenta de linha de comando gcloud.