Überblick
Mit Identity and Access Management (IAM) können Sie den Nutzer- und Gruppenzugriff auf Ihre Projektressourcen steuern. In diesem Dokument werden die für Dataproc Serverless relevanten IAM-Berechtigungen und die IAM-Rollen beschrieben, die diese Berechtigungen gewähren.
Dataproc Serverless-Berechtigungen
Mit Dataproc Serverless-Berechtigungen können Nutzer, einschließlich Dienstkonten, Aktionen auf Dataproc Serverless-Ressourcen ausführen. Mit der Berechtigung dataproc.batches.create können Sie beispielsweise Dataproc Serverless-Batches in Ihrem Projekt erstellen.
Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern Sie weisen ihnen
Rollen zu, die eine oder mehrere Berechtigungen enthalten.
In den folgenden Tabellen sind die Berechtigungen aufgeführt, die zum Aufrufen von Dataproc Serverless APIs (Methoden) erforderlich sind. Die Tabellen werden gemäß den APIs organisiert, die mit den einzelnen Dataproc Serverless-Ressourcen (Batches, Sitzungen, Sitzungsvorlagen und Vorgänge) verknüpft sind. Eine Liste der Google Cloud-Berechtigungen, die in den einzelnen Rollen enthalten sind, finden Sie unter Dataproc-Rollen.
Umfang der Berechtigung: Der Bereich der Dataproc Serverless-Berechtigungen, die in den folgenden Tabellen aufgeführt sind, bezieht sich auf das Google Cloud-Projekt (Bereich cloud-platform). Siehe Dienstkontoberechtigungen.
Beispiele:
dataproc.batches.createermöglicht das Erstellen von Batches im zugehörigen Projekt.dataproc.sessions.createermöglicht das Erstellen einer interaktiven Sitzung im zugehörigen Projekt.dataproc.operations.listermöglicht das Auflisten von Details zu Dataproc-Vorgängen im zugehörigen Projekt.
Batchberechtigungen
| Methode | Erforderliche Berechtigungen |
|---|---|
| projects.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
- Für
dataproc.batches.createsind außerdem die Berechtigungendataproc.batches.getunddataproc.operations.geterforderlich, damit Statusaktualisierungen über dasgcloud-Befehlszeilentool abgerufen werden können.
Sitzungsberechtigungen
| Methode | Erforderliche Berechtigungen |
|---|---|
| projects.locations.sessions.create | dataproc.sessions.create 1 |
| projects.locations.sessions.delete | dataproc.sessions.delete |
| projects.locations.sessions.get | dataproc.sessions.get |
| projects.locations.sessions.list | dataproc.sessions.list |
| projects.locations.sessions.terminate | dataproc.sessions.terminate |
1 Für dataproc.sessions.create sind außerdem die Berechtigungen dataproc.sessions.get und dataproc.operations.get erforderlich, damit Statusaktualisierungen über das gcloud-Befehlszeilentool abgerufen werden können.
Berechtigungen für Sitzungslaufzeitvorlagen
| Methode | Erforderliche Berechtigungen |
|---|---|
| projects.locations.sessionTemplates.create | dataproc.sessionTemplates.create 1 |
| projects.locations.sessionTemplates.delete | dataproc.sessionTemplates.delete |
| projects.locations.sessionTemplates.get | dataproc.sessionTemplates.get |
| projects.locations.sessionTemplates.list | dataproc.sessionTemplates.list |
| projects.locations.sessionTemplates.update | dataproc.sessionTemplates.update |
- Für
dataproc.sessionTemplates.createsind außerdem die Berechtigungendataproc.sessionTemplates.getunddataproc.operations.geterforderlich, damit Statusaktualisierungen über dasgcloud-Befehlszeilentool abgerufen werden können.
Berechtigungen für Vorgänge
| Methode | Erforderliche Berechtigung(en) |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
- Zum Abbrechen von Batchvorgängen benötigt
dataproc.operations.cancelaußerdem die Berechtigungdataproc.batches.cancel.
Serverlose Dataproc-Rollen
Serverlose IAM-Rollen in Dataproc sind ein Bundle aus einer oder mehreren Berechtigungen.
Sie weisen Nutzern oder Gruppen Rollen zu, damit sie Aktionen mit den serverlosen Dataproc-Ressourcen in Ihrem Projekt ausführen können. Die Rolle Dataproc Viewer enthält beispielsweise die Abruf- und Listenberechtigungen dataproc.batches und dataproc.sessions, mit denen Sie Dataproc Serverless-Batches und -Sitzungen in einem Projekt abrufen und auflisten können.
In der folgenden Tabelle sind die Dataproc Serverless-IAM-Rollen und die mit den einzelnen Rollen verknüpften Berechtigungen aufgeführt:
| Rollen-ID | Berechtigungen |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.batches.cancel dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessions.delete.create dataproc.sessionTemplates.delete dataproc.list”. |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete Dataproc.batches.get dataproc.batches.list dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate Dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.update. |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list dataproc.sessions.get dataproc.sessions.list dataproc.sessionTemplates.get dataproc.sessionTemplates.list |
Projektrollen
Sie können auch Berechtigungen auf Projektebene festlegen, indem Sie die IAM- Projektrollen verwenden. Nachfolgend finden Sie eine Übersicht über alle Berechtigungen, die mit IAM-Projektrollen verknüpft sind.
| Projektrolle | Berechtigungen |
|---|---|
| Projektbetrachter | Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status (get, list) beibehalten |
| Projektbearbeiter | Alle Berechtigungen des Projektbetrachters sowie alle Projektberechtigungen für Aktionen, die den Status ändern (erstellen, löschen, aktualisieren, verwenden, abbrechen, anhalten, starten) |
| Projektinhaber | Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffskontrolle für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung |
Benutzerdefinierte Rollen
Dataproc-Batchberechtigungen können benutzerdefinierten Rollen über die Google Cloud Console oder das gcloud-Befehlszeilentool hinzugefügt werden.
IAM-Management
Sie können IAM-Richtlinien über die Google Cloud Console, die IAM API oder das gcloud-Befehlszeilentool abrufen und festlegen.
- Weitere Informationen zur Google Cloud Console findest du unter Zugriffssteuerung über die Google Cloud Console.
- Für die API siehe Zugriffssteuerung über die API
- Informationen zum
gcloud-Befehlszeilentool finden Sie im entsprechenden Abschnitt unter Zugriff auf Ressourcen erteilen, ändern und entziehen.