개요
Identity and Access Management(IAM)를 사용하면 프로젝트 리소스에 대한 사용자 및 그룹 액세스를 제어할 수 있습니다. 이 문서에서는 서버리스 Dataproc과 관련된 IAM 권한과 해당 권한이 부여된 IAM 역할에 대해 집중적으로 다룹니다.
서버리스 Dataproc 권한
서버리스 Dataproc 권한은 서비스 계정을 포함한 사용자가 서버리스 Dataproc 리소스에서 작업을 수행할 수 있게 해줍니다. 예를 들어 dataproc.batches.create 권한이 있으면 프로젝트에서 서버리스 Dataproc 배치를 만들 수 있습니다.
사용자에게 권한을 직접 부여하는 대신 하나 이상의 권한이 번들로 포함된 역할을 부여합니다.
다음 표는 서버리스 Dataproc API(메서드)를 호출하는 데 필요한 권한 목록입니다. 이 표는 각 Dataproc Serverless 리소스(배치, 세션, 세션 템플릿, 작업)와 연결된 API에 따라 구성됩니다. 각 역할에 포함된 Google Cloud 권한 목록은 Dataproc 역할을 참조하세요.
권한 범위: 다음 표에 나와 있는 Dataproc Serverless 권한의 범위는 포함된 Google Cloud 프로젝트(cloud-platform 범위)입니다. 서비스 계정 권한을 참조하세요.
예:
dataproc.batches.create는 포함된 프로젝트에서 배치를 만들도록 허용합니다.dataproc.sessions.create는 포함된 프로젝트에서 대화형 세션을 만들도록 허용합니다.dataproc.operations.list는 포함된 프로젝트에 Dataproc 작업의 세부정보를 표시하도록 허용합니다.
배치 권한
| 메서드 | 필수 권한 |
|---|---|
| projects.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
dataproc.batches.create는 또한gcloud명령줄 도구에서 상태 업데이트를 가져오도록 허용하기 위해dataproc.batches.get및dataproc.operations.get권한이 필요합니다.
세션 권한
| 메서드 | 필수 권한 |
|---|---|
| projects.locations.sessions.create | dataproc.sessions.create 1 |
| projects.locations.sessions.delete | dataproc.sessions.delete |
| projects.locations.sessions.get | dataproc.sessions.get |
| projects.locations.sessions.list | dataproc.sessions.list |
| projects.locations.sessions.terminate | dataproc.sessions.terminate |
1 dataproc.sessions.create는 또한 gcloud 명령줄 도구에서 상태 업데이트를 가져오도록 허용하기 위해 dataproc.sessions.get 및 dataproc.operations.get 권한이 필요합니다.
세션 런타임 템플릿 권한
| 메서드 | 필수 권한 |
|---|---|
| projects.locations.sessionTemplates.create | dataproc.sessionTemplates.create 1 |
| projects.locations.sessionTemplates.delete | dataproc.sessionTemplates.delete |
| projects.locations.sessionTemplates.get | dataproc.sessionTemplates.get |
| projects.locations.sessionTemplates.list | dataproc.sessionTemplates.list |
| projects.locations.sessionTemplates.update | dataproc.sessionTemplates.update |
dataproc.sessionTemplates.create는 또한gcloud명령줄 도구에서 상태 업데이트를 가져오도록 허용하기 위해dataproc.sessionTemplates.get및dataproc.operations.get권한이 필요합니다.
작업 권한
| 메서드 | 필수 권한 |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
- 배치 작업을 취소하려면
dataproc.operations.cancel에dataproc.batches.cancel권한도 필요합니다.
서버리스 Dataproc 역할
서버리스 Dataproc IAM 역할은 하나 이상의 권한 모음입니다.
프로젝트의 Dataproc Serverless 리소스에서 작업을 수행할 수 있도록 사용자 또는 그룹에 역할을 부여할 수 있습니다. 예를 들어 Dataproc 뷰어 역할에는 dataproc.batches 및 dataproc.sessions 가져오기 및 나열 권한이 포함되며, 이를 통해 프로젝트의 Dataproc Serverless 배치 및 세션을 가져오고 나열할 수 있습니다.
다음 표는 서버리스 Dataproc IAM 역할과 각 역할과 관련된 권한 목록입니다.
| 역할 ID | 권한 |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.batches.cancel dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list dataproc.sessions.get dataproc.sessions.list dataproc.sessionTemplates.get dataproc.sessionTemplates.list |
프로젝트 역할
IAM 프로젝트 역할을 사용하여 프로젝트 수준에서 권한을 설정할 수도 있습니다. 다음은 IAM 프로젝트 역할과 관련된 권한을 요약해서 보여줍니다.
| 프로젝트 역할 | 권한 |
|---|---|
| 프로젝트 뷰어 | 상태를 보존하는 읽기 전용 작업에 대한 모든 프로젝트 권한(가져오기, 표시) |
| 프로젝트 편집자 | 모든 프로젝트 뷰어 권한에 더해 상태를 수정하는 작업에 대한 모든 프로젝트 권한(만들기, 삭제, 업데이트, 사용, 취소, 중지, 시작) |
| 프로젝트 소유자 | 모든 프로젝트 편집자 권한에 더해 프로젝트에 대한 액세스 제어를 관리하고(IamPolicy 가져오기/설정) 프로젝트 결제를 설정하는 권한 |
맞춤 역할
Google Cloud 콘솔 또는 gcloud 명령줄 도구를 통해 Dataproc 배치 권한을 커스텀 역할에 추가할 수 있습니다.
IAM 관리
Google Cloud 콘솔, IAM API 또는 gcloud 명령줄 도구를 사용하여 Cloud IAM 정책을 가져오고 설정할 수 있습니다.
- Google Cloud 콘솔의 경우 Google Cloud 콘솔을 통한 액세스 제어를 참조하세요.
- API는 API를 통한 액세스 제어를 참조하세요.
gcloud명령줄 도구는 gcloud 명령줄 도구를 통한 액세스 제어를 참조하세요.