Présentation
La gestion de l'authentification et des accès (IAM) vous permet de contrôler l'accès des utilisateurs et des groupes aux ressources de votre projet. Ce document porte sur les autorisations IAM pertinentes pour Dataproc sans serveur et sur les rôles IAM qui accordent ces autorisations.
Autorisations Dataproc sans serveur
Les autorisations Dataproc sans serveur permettent aux utilisateurs, y compris aux comptes de service, d'effectuer des actions sur les ressources sans serveur Dataproc. Par exemple, l'autorisation dataproc.batches.create vous permet de créer des lots Dataproc sans serveur dans votre projet.
Vous n'accordez pas directement des autorisations aux utilisateurs, mais vous leur attribuez des rôles auxquels sont associées une ou plusieurs autorisations.
Les tableaux suivants répertorient les autorisations nécessaires pour appeler les API (méthodes) sans serveur Dataproc. Les tables sont organisées en fonction des API associées à chaque ressource Dataproc sans serveur (lots, sessions, sessionTemplates et opérations). Pour obtenir la liste des autorisations Google Cloud incluses dans chaque rôle, consultez la page Rôles Dataproc.
Champ d'application des autorisations:le champ d'application des autorisations Dataproc sans serveur répertoriées dans les tableaux suivants correspond au projet Google Cloud associé (champ d'application cloud-platform). Consultez la section Autorisations de compte de service.
Exemples :
dataproc.batches.createpermet de créer des lots dans le projet associé.dataproc.sessions.createpermet de créer une session interactive dans le projet associé.dataproc.operations.listpermet de répertorier les détails des opérations Dataproc dans le projet associé.
Autorisations groupées
| Méthode | Autorisations requises |
|---|---|
| projects.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
dataproc.batches.createnécessite également les autorisationsdataproc.batches.getetdataproc.operations.getpour lui permettre d'obtenir des mises à jour d'état à partir de l'outil de ligne de commandegcloud.
Autorisations liées aux sessions
| Méthode | Autorisations requises |
|---|---|
| projects.locations.sessions.create | dataproc.sessions.create 1 |
| projects.locations.sessions.delete | dataproc.sessions.delete |
| projects.locations.sessions.get | dataproc.sessions.get |
| projects.locations.sessions.list | dataproc.sessions.list |
| projects.locations.sessions.terminate | dataproc.sessions.terminate |
1 dataproc.sessions.create nécessite également les autorisations dataproc.sessions.get et dataproc.operations.get pour lui permettre d'obtenir des mises à jour d'état à partir de l'outil de ligne de commande gcloud.
Autorisations associées au modèle d'exécution de session
| Méthode | Autorisations requises |
|---|---|
| projects.locations.sessionTemplates.create | dataproc.sessionTemplates.create 1 |
| projects.locations.sessionTemplates.delete | dataproc.sessionTemplates.delete |
| projects.locations.sessionTemplates.get | dataproc.sessionTemplates.get |
| projects.locations.sessionTemplates.list | dataproc.sessionTemplates.list |
| projects.locations.sessionTemplates.update | dataproc.sessionTemplates.update |
dataproc.sessionTemplates.createnécessite également les autorisationsdataproc.sessionTemplates.getetdataproc.operations.getpour lui permettre d'obtenir des mises à jour d'état à partir de l'outil de ligne de commandegcloud.
Autorisations d'opérations
| Méthode | Autorisations requises |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
- Pour annuler des opérations par lot,
dataproc.operations.cancela également besoin de l'autorisationdataproc.batches.cancel.
Rôles Dataproc sans serveur
Les rôles IAM Dataproc sans serveur sont un ensemble d'une ou plusieurs autorisations.
Vous attribuez des rôles à des utilisateurs ou à des groupes pour leur permettre d'effectuer des actions sur les ressources Dataproc sans serveur de votre projet. Par exemple, le rôle Lecteur Dataproc contient les autorisations "get" et "list" dataproc.batches et dataproc.sessions, qui vous permettent d'obtenir et de répertorier les lots et sessions Dataproc sans serveur dans un projet.
Le tableau suivant répertorie les rôles IAM Dataproc sans serveur et les autorisations associées à chaque rôle:
| ID de rôle | Permissions |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get Dataproc.batches.list dataproc.batches.cancel dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.delete dataproc.sessionTemplates.delete dataproc.sessionTemplates.delete . |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.session.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.updateModèles. |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list dataproc.sessions.get dataproc.sessions.list dataproc.sessionTemplates.get dataproc.sessionTemplates.list |
Rôles au niveau du projet
Il est possible d'obtenir des autorisations au niveau du projet en utilisant les rôles IAM Projet. Voici un aperçu des permissions correspondantes aux rôles de projet IAM.
| Rôle de projet | Autorisations |
|---|---|
| Lecteur de projets | Toutes les autorisations de projet pour les actions en lecture seule préservant l'état (get, list) |
| Éditeur de projet | Toutes les autorisations lecteur de projet, ainsi que toutes les autorisations de projet pour les actions qui modifient l'état (créer, supprimer, mettre à jour, utiliser, annuler, arrêter, démarrer) |
| Propriétaire du projet | Toutes les autorisations de l'éditeur de projet, ainsi que celles permettant de gérer le contrôle d'accès au projet (get / set IamPolicy) et de configurer la facturation du projet |
Rôles personnalisés
Des autorisations par lot Dataproc peuvent être ajoutées aux rôles personnalisés via la console Google Cloud ou l'outil de ligne de commande gcloud.
Gestion de l'IAM
Vous pouvez obtenir et définir des stratégies IAM à l'aide de la console Google Cloud, de l'API IAM ou de l'outil de ligne de commande gcloud.
- Pour la console Google Cloud, consultez Contrôle des accès via la console Google Cloud.
- Pour l'API, consultez Contrôle d'accès via les API.
- Pour l'outil de ligne de commande
gcloud, consultez la section Contrôle des accès via l'outil de ligne de commande gcloud.