Identity and Access Management (IAM) ti consente di controllare l'accesso di utenti e gruppi alle risorse del tuo progetto. Questo documento si concentra sulle autorizzazioni IAM pertinenti a Dataproc Serverless e sui ruoli IAM che concedono queste autorizzazioni.
Autorizzazioni Dataproc Serverless
Le autorizzazioni Dataproc Serverless consentono agli utenti, inclusi gli account di servizio, di eseguire azioni sulle risorse Dataproc Serverless. Ad esempio, l'autorizzazione dataproc.batches.create
ti consente di creare batch Dataproc Serverless nel tuo progetto.
Non concedi direttamente le autorizzazioni agli utenti, ma concedi loro
ruoli che includono una o più autorizzazioni.
Le tabelle riportate di seguito elencano le autorizzazioni necessarie per chiamare le API (metodi) Dataproc Serverless. Le tabelle sono organizzate in base alle API associate a ogni risorsa Dataproc Serverless (batch, sessioni, sessionTemplate e operazioni). Per un elenco delle autorizzazioni Google Cloud incluse in ogni ruolo, consulta Ruoli Dataproc.
Ambito delle autorizzazioni: l'ambito delle autorizzazioni Dataproc Serverless elencate nelle tabelle seguenti è il progetto Google Cloud contenente (ambito cloud-platform). Consulta
Autorizzazioni account di servizio.
Esempi:
dataproc.batches.createconsente la creazione di batch nel progetto contenente.dataproc.sessions.createconsente la creazione di una sessione interattiva nel progetto contenente.dataproc.operations.listconsente di elencare i dettagli delle operazioni Dataproc nel progetto contenente.
Autorizzazioni batch
| Metodo | Autorizzazioni richieste |
|---|---|
| projects.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
1 dataproc.batches.create richiede inoltre le autorizzazioni dataproc.batches.get e
dataproc.operations.get per poter ricevere aggiornamenti sullo stato
dallo strumento a riga di comando gcloud.
Autorizzazioni della sessione
| Metodo | Autorizzazioni richieste |
|---|---|
| projects.locations.sessions.create | dataproc.sessions.create 1 |
| projects.locations.sessions.delete | dataproc.sessions.delete |
| projects.locations.sessions.get | dataproc.sessions.get |
| projects.locations.sessions.list | dataproc.sessions.list |
| projects.locations.sessions.terminate | dataproc.sessions.terminate |
1 dataproc.sessions.create richiede inoltre le autorizzazioni dataproc.sessions.get e
dataproc.operations.get per poter ricevere aggiornamenti sullo stato
dallo strumento a riga di comando gcloud.
Autorizzazioni del modello di runtime della sessione
| Metodo | Autorizzazioni richieste |
|---|---|
| projects.locations.sessionTemplates.create | dataproc.sessionTemplates.create 1 |
| projects.locations.sessionTemplates.delete | dataproc.sessionTemplates.delete |
| projects.locations.sessionTemplates.get | dataproc.sessionTemplates.get |
| projects.locations.sessionTemplates.list | dataproc.sessionTemplates.list |
| projects.locations.sessionTemplates.update | dataproc.sessionTemplates.update |
1 dataproc.sessionTemplates.create richiede inoltre le autorizzazioni dataproc.sessionTemplates.get e
dataproc.operations.get per poter ricevere aggiornamenti sullo stato
dallo strumento a riga di comando gcloud.
Autorizzazioni di gestione
| Metodo | Autorizzazioni richieste |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
1 Per annullare le operazioni collettive, dataproc.operations.cancel richiede anche l'autorizzazione dataproc.batches.cancel.
Ruoli Dataproc Serverless
I ruoli IAM Dataproc Serverless
sono un insieme di una o più autorizzazioni.
Concedi i ruoli a utenti o gruppi per consentire loro di eseguire azioni sulle risorse Dataproc Serverless nel tuo progetto. Ad esempio, il ruolo Visualizzatore Dataproc contiene le autorizzazioni di recupero e visualizzazione dataproc.batches e dataproc.sessions, che consentono di recuperare e visualizzare sessioni e batch Dataproc Serverless in un progetto.
La tabella seguente elenca i ruoli IAM di Dataproc Serverless e le autorizzazioni associate a ciascun ruolo:
| ID ruolo | Autorizzazioni |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.batches.cancel dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list dataproc.sessions.get dataproc.sessions.list dataproc.sessionTemplates.get dataproc.sessionTemplates.list |
Ruoli del progetto
Puoi anche impostare le autorizzazioni a livello di progetto utilizzando i ruoli IAM Project. Ecco un riepilogo delle autorizzazioni associate ai ruoli di progetto IAM:
| Ruolo progetto | Autorizzazioni |
|---|---|
| Visualizzatore progetto | Tutte le autorizzazioni del progetto per azioni di sola lettura che preservano lo stato (get, list) |
| Editor progetto | Tutte le autorizzazioni di Visualizzatore progetto, oltre a tutte le autorizzazioni del progetto per le azioni che modificano lo stato (creazione, eliminazione, aggiornamento, utilizzo, annullamento, interruzione, avvio) |
| Proprietario progetto | Tutte le autorizzazioni di Editor del progetto, oltre alle autorizzazioni per gestire il controllo dell'accesso per il progetto (get/set IamPolicy) e per configurare la fatturazione del progetto |
Ruoli personalizzati
Le autorizzazioni batch di Dataproc possono essere aggiunte ai ruoli personalizzati tramite la console Google Cloud o lo strumento a riga di comando gcloud.
Gestione dei criteri IAM
Puoi recuperare e impostare i criteri IAM utilizzando la console Google Cloud, l'API IAM o lo strumento a riga di comando gcloud.
- Per la console Google Cloud, consulta Controllo dell'accesso tramite la console Google Cloud.
- Per l'API, vedi Controllo dell'accesso tramite l'API.
- Per lo strumento a riga di comando
gcloud, consulta Controllo dell'accesso utilizzando lo strumento a riga di comando Google Cloud CLI.