Panoramica
Identity and Access Management (IAM) consente di controllare l'accesso di utenti e gruppi alle risorse del progetto. Questo documento è incentrato sulle autorizzazioni IAM pertinenti per Dataproc Serverless e sui ruoli IAM che concedono queste autorizzazioni.
Autorizzazioni Dataproc Serverless
Le autorizzazioni di Dataproc Serverless consentono agli utenti, inclusi gli account di servizio, di eseguire azioni sulle risorse Dataproc Serverless. Ad esempio, l'autorizzazione dataproc.batches.create
consente di creare batch Dataproc Serverless nel progetto.
Non concedi direttamente le autorizzazioni agli utenti, ma concedi loro ruoli che hanno una o più autorizzazioni raggruppate al loro interno.
Le seguenti tabelle elencano le autorizzazioni necessarie per chiamare le API (metodi) Dataproc Serverless. Le tabelle sono organizzate in base alle API associate a ogni risorsa Dataproc Serverless (batch, sessioni, sessionTemplates e operazioni). Per un elenco delle autorizzazioni di Google Cloud incluse in ogni ruolo, consulta Ruoli Dataproc.
Ambito delle autorizzazioni: l'ambito delle autorizzazioni di Dataproc Serverless
elencate nelle seguenti tabelle è il progetto Google Cloud
che contiene (ambito cloud-platform). Vedi Autorizzazioni dell'account di servizio.
Esempi:
dataproc.batches.createconsente la creazione di batch nel progetto contenente.dataproc.sessions.createconsente la creazione di una sessione interattiva nel progetto contenitore.dataproc.operations.listconsente di elencare i dettagli delle operazioni Dataproc nel progetto contenitore.
Autorizzazioni batch
| Metodo | Autorizzazioni richieste |
|---|---|
| projects.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
dataproc.batches.createrichiede anche le autorizzazionidataproc.batches.getedataproc.operations.getper consentire di ricevere gli aggiornamenti dello stato dallo strumento a riga di comandogcloud.
Autorizzazioni sessione
| Metodo | Autorizzazioni richieste |
|---|---|
| projects.locations.sessions.create | dataproc.sessions.create 1 |
| projects.locations.sessions.delete | dataproc.sessions.delete |
| projects.locations.sessions.get | dataproc.sessions.get |
| projects.locations.sessions.list | dataproc.sessions.list |
| projects.locations.sessions.terminate | dataproc.sessions.terminate |
1 dataproc.sessions.create richiede anche le autorizzazioni dataproc.sessions.get e dataproc.operations.get per consentire di ricevere aggiornamenti di stato dallo strumento a riga di comando gcloud.
Autorizzazioni dei modelli di runtime della sessione
| Metodo | Autorizzazioni richieste |
|---|---|
| projects.locations.sessionTemplates.create | dataproc.sessionTemplates.create 1 |
| projects.locations.sessionTemplates.delete | dataproc.sessionTemplates.delete |
| projects.locations.sessionTemplates.get | dataproc.sessionTemplates.get |
| projects.locations.sessionTemplates.list | dataproc.sessionTemplates.list |
| projects.locations.sessionTemplates.update | dataproc.sessionTemplates.update |
dataproc.sessionTemplates.createrichiede anche le autorizzazionidataproc.sessionTemplates.getedataproc.operations.getper consentire di ricevere gli aggiornamenti dello stato dallo strumento a riga di comandogcloud.
Autorizzazioni operazioni
| Metodo | Autorizzazioni richieste |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
- Per annullare le operazioni collettive,
dataproc.operations.cancelrichiede anche l'autorizzazionedataproc.batches.cancel.
Ruoli Dataproc Serverless
I ruoli IAM serverless di Dataproc sono un bundle di una o più autorizzazioni.
Concedi i ruoli a utenti o gruppi per consentire loro di eseguire azioni sulle risorse serverless di Dataproc nel tuo progetto. Ad esempio, il ruolo Visualizzatore Dataproc contiene le autorizzazioni di recupero ed elenco dataproc.batches e dataproc.sessions, che ti consentono di ottenere ed elencare batch e sessioni Dataproc Serverless in un progetto.
Nella tabella seguente sono elencati i ruoli IAM Dataproc Serverless e le autorizzazioni associate a ciascun ruolo:
| ID ruolo | Autorizzazioni |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.batches.cancel dataproc.sessions.create dataproc.sessions.delete dataproc.session.createc.sessionTemplates.delete dataproc.sessions.sessioncdataTemplates.delete dataproc.sessions.session. |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate procsessiondataTemplates.termina |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list dataproc.sessions.get dataproc.sessions.list dataproc.sessionTemplates.get dataproc.sessionTemplates.list |
Ruoli progetto
Puoi anche impostare le autorizzazioni a livello di progetto utilizzando i ruoli IAM Progetto. Ecco un riepilogo delle autorizzazioni associate ai ruoli del progetto IAM:
| Ruolo progetto | Autorizzazioni |
|---|---|
| Visualizzatore progetto | Tutte le autorizzazioni del progetto per le azioni di sola lettura che mantengono lo stato (get, list) |
| Editor progetto | Tutte le autorizzazioni di Visualizzatore progetto più tutte le autorizzazioni di progetto per le azioni che modificano lo stato (creazione, eliminazione, aggiornamento, utilizzo, annullamento, arresto, avvio) |
| Proprietario progetto | Tutte le autorizzazioni dell'Editor di progetto più quelle per gestire il controllo dell'accesso per il progetto (get/set IamPolicy) e per configurare la fatturazione del progetto |
Ruoli personalizzati
Puoi aggiungere le autorizzazioni batch di Dataproc ai ruoli personalizzati tramite
la console Google Cloud o lo strumento a riga di comando gcloud.
Gestione IAM
Puoi ottenere e impostare i criteri IAM utilizzando la console Google Cloud, l'API IAM o lo strumento a riga di comando gcloud.
- Per la console Google Cloud, consulta Controllo dell'accesso tramite la console Google Cloud.
- Per l'API, vedi Controllo dell'accesso tramite l'API.
- Per lo strumento a riga di comando
gcloud, vedi Controllo dell'accesso tramite lo strumento a riga di comando gcloud.