Übersicht
Mit Identity and Access Management (IAM) können Sie den Nutzer- und Gruppenzugriff auf Ihre Projektressourcen steuern. In diesem Dokument geht es um die IAM-Berechtigungen für Dataproc Serverless und die IAM-Rollen, die diese Berechtigungen gewähren.
Serverlose Berechtigungen von Dataproc
Mit serverlosen Dataproc-Berechtigungen können Nutzer, einschließlich Dienstkonten, Aktionen für Dataproc-Ressourcen ausführen. Mit der Berechtigung dataproc.batches.create können Sie beispielsweise Dataproc-Batches in Ihrem Projekt erstellen.
Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern Sie weisen ihnen
Rollen zu, die eine oder mehrere Berechtigungen enthalten.
In den folgenden Tabellen sind die erforderlichen Berechtigungen für den Aufruf von Dataproc serverlosen APIs (Methoden) aufgeführt. Die Tabellen sind entsprechend den APIs organisiert, die mit den jeweiligen Dataproc-Ressourcen (Batches und Vorgänge) verknüpft sind.
Batchberechtigungen
| Methode | Erforderliche Berechtigungen |
|---|---|
| projects.locations.batches.create | qwiklabs.batches.create 1 |
| projects.locations.batches.delete | qwiklabs.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
- Für
dataproc.batches.createsind außerdem die Berechtigungendataproc.batches.getunddataproc.operations.geterforderlich, damit sie Statusaktualisierungen über das Befehlszeilentoolgcloudabrufen können.
Berechtigungen für Vorgänge
| Methode | Erforderliche Berechtigung(en) |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.Operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
- Zum Abbrechen von Batchvorgängen ist für
dataproc.operations.cancelaußerdem die Berechtigungdataproc.batches.cancelerforderlich.
Serverlose Dataproc-Rollen
Serverlose IAM-Rollen sind ein Paket mit einer oder mehreren Berechtigungen.
Sie gewähren Nutzern oder Gruppen Rollen, damit sie Aktionen mit den serverlosen Dataproc-Ressourcen in Ihrem Projekt ausführen können. Die Rolle Dataproc Viewer enthält beispielsweise die Berechtigungen dataproc.batches.get und dataproc.batches.list, mit denen Sie Dataproc-Batches in einem Projekt abrufen und auflisten können.
Die folgende Tabelle enthält die Dataproc-IAM-Rollen und die damit verbundenen Berechtigungen:
| Rollen-ID | Berechtigungen |
|---|---|
| roles/dataproc.admin | qwiklabs.batches.cancel qwiklabs.batches.create qwiklabs.batches.delete qwiklabs.batches.get qwiklabs.batches.list |
| roles/dataproc.editor | qwiklabs.batches.cancel qwiklabs.batches.create qwiklabs.batches.delete qwiklabs.batches.get qwiklabs.batches.list |
| roles/dataproc.viewer | qwiklabs.batches.get qwiklabs.batches.list |
Projektrollen
Sie können auch Berechtigungen auf Projektebene festlegen, indem Sie die IAM- Projektrollen verwenden. Nachfolgend finden Sie eine Übersicht über alle Berechtigungen, die mit IAM-Projektrollen verknüpft sind.
| Projektrolle | Berechtigungen |
|---|---|
| Projektbetrachter | Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status (get, list) beibehalten |
| Projektbearbeiter | Alle Berechtigungen des Projektbetrachters sowie alle Projektberechtigungen für Aktionen, die den Status ändern (erstellen, löschen, aktualisieren, verwenden, abbrechen, anhalten, starten) |
| Projektinhaber | Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffskontrolle für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung |
Benutzerdefinierte Rollen
Dataproc-Batchberechtigungen können über die Konsole oder das gcloud-Befehlszeilentool benutzerdefinierten Rollen hinzugefügt werden.
IAM-Management
Sie können IAM-Richtlinien mit der Google Cloud Console, der IAM API oder dem gcloud-Befehlszeilentool abrufen und festlegen.
- Weitere Informationen zur Google Cloud Console finden Sie unter Zugriffssteuerung über die Google Cloud Console.
- Informationen zur API finden Sie im entsprechenden Abschnitt unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
- Informationen zum
gcloud-Befehlszeilentool finden Sie im entsprechenden Abschnitt unter Zugriff auf Ressourcen erteilen, ändern und entziehen.