Serverlose Dataproc-Berechtigungen und IAM-Rollen

Übersicht

Mit Identity and Access Management (IAM) können Sie den Nutzer- und Gruppenzugriff auf Ihre Projektressourcen steuern. In diesem Dokument geht es um die IAM-Berechtigungen für Dataproc Serverless und die IAM-Rollen, die diese Berechtigungen gewähren.

Serverlose Berechtigungen von Dataproc

Mit serverlosen Dataproc-Berechtigungen können Nutzer, einschließlich Dienstkonten, Aktionen für Dataproc-Ressourcen ausführen. Mit der Berechtigung dataproc.batches.create können Sie beispielsweise Dataproc-Batches in Ihrem Projekt erstellen. Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern Sie weisen ihnen Rollen zu, die eine oder mehrere Berechtigungen enthalten.

In den folgenden Tabellen sind die erforderlichen Berechtigungen für den Aufruf von Dataproc serverlosen APIs (Methoden) aufgeführt. Die Tabellen sind entsprechend den APIs organisiert, die mit den jeweiligen Dataproc-Ressourcen (Batches und Vorgänge) verknüpft sind.

Batchberechtigungen

Methode Erforderliche Berechtigungen
projects.locations.batches.create qwiklabs.batches.create 1
projects.locations.batches.delete qwiklabs.batches.delete
projects.locations.batches.get dataproc.batches.get
projects.locations.batches.list dataproc.batches.list
  1. Für dataproc.batches.create sind außerdem die Berechtigungen dataproc.batches.get und dataproc.operations.get erforderlich, damit sie Statusaktualisierungen über das Befehlszeilentool gcloud abrufen können.

Berechtigungen für Vorgänge

Methode Erforderliche Berechtigung(en)
projects.regions.operations.get dataproc.operations.get
projects.regions.operations.list dataproc.operations.list
projects.regions.Operations.cancel 1 dataproc.operations.cancel
projects.regions.operations.delete dataproc.operations.delete
projects.regions.operations.getIamPolicy dataproc.operations.getIamPolicy
projects.regions.operations.setIamPolicy dataproc.operations.setIamPolicy
  1. Zum Abbrechen von Batchvorgängen ist für dataproc.operations.cancel außerdem die Berechtigung dataproc.batches.cancel erforderlich.

Serverlose Dataproc-Rollen

Serverlose IAM-Rollen sind ein Paket mit einer oder mehreren Berechtigungen. Sie gewähren Nutzern oder Gruppen Rollen, damit sie Aktionen mit den serverlosen Dataproc-Ressourcen in Ihrem Projekt ausführen können. Die Rolle Dataproc Viewer enthält beispielsweise die Berechtigungen dataproc.batches.get und dataproc.batches.list, mit denen Sie Dataproc-Batches in einem Projekt abrufen und auflisten können.

Die folgende Tabelle enthält die Dataproc-IAM-Rollen und die damit verbundenen Berechtigungen:

Rollen-ID Berechtigungen
roles/dataproc.admin qwiklabs.batches.cancel
qwiklabs.batches.create
qwiklabs.batches.delete
qwiklabs.batches.get
qwiklabs.batches.list
roles/dataproc.editor qwiklabs.batches.cancel
qwiklabs.batches.create
qwiklabs.batches.delete
qwiklabs.batches.get
qwiklabs.batches.list
roles/dataproc.viewer qwiklabs.batches.get
qwiklabs.batches.list

Projektrollen

Sie können auch Berechtigungen auf Projektebene festlegen, indem Sie die IAM- Projektrollen verwenden. Nachfolgend finden Sie eine Übersicht über alle Berechtigungen, die mit IAM-Projektrollen verknüpft sind.

Projektrolle Berechtigungen
Projektbetrachter Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status (get, list) beibehalten
Projektbearbeiter Alle Berechtigungen des Projektbetrachters sowie alle Projektberechtigungen für Aktionen, die den Status ändern (erstellen, löschen, aktualisieren, verwenden, abbrechen, anhalten, starten)
Projektinhaber Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffskontrolle für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung

Benutzerdefinierte Rollen

Dataproc-Batchberechtigungen können über die Konsole oder das gcloud-Befehlszeilentool benutzerdefinierten Rollen hinzugefügt werden.

IAM-Management

Sie können IAM-Richtlinien mit der Google Cloud Console, der IAM API oder dem gcloud-Befehlszeilentool abrufen und festlegen.

Weitere Informationen