Gestión de Identidades y Accesos (IAM) te permite controlar el acceso de usuarios y grupos a los recursos de tu proyecto. En este documento se describen los permisos de gestión de identidades y accesos relevantes para Serverless para Apache Spark y los roles de gestión de identidades y accesos que conceden esos permisos.
Permisos de Serverless para Apache Spark
Los permisos de Serverless para Apache Spark permiten que los usuarios, incluidas las cuentas de servicio, realicen acciones en los recursos de Serverless para Apache Spark. Por ejemplo, el permiso dataproc.batches.create
te permite crear lotes de Serverless para Apache Spark en tu proyecto.
No se conceden permisos directamente a los usuarios, sino que se les asignan roles, que incluyen uno o varios permisos.
En las siguientes tablas se indican los permisos necesarios para llamar a las APIs (métodos) de Serverless para Apache Spark. Las tablas se organizan según las APIs asociadas a cada recurso de Serverless para Apache Spark (lotes, sesiones, SessionTemplates y operaciones). Para ver una lista de los Google Cloud permisos incluidos en cada rol, consulta Roles de Dataproc.
Ámbito de los permisos: el ámbito de los permisos de Serverless para Apache Spark que se indican en las siguientes tablas es el proyecto que los contiene (ámbito cloud-platform). Google CloudConsulta Permisos de cuenta de servicio.
Ejemplos:
dataproc.batches.createpermite crear lotes en el proyecto que lo contiene.dataproc.sessions.createpermite crear una sesión interactiva en el proyecto contenedor.dataproc.operations.listpermite enumerar los detalles de las operaciones de Dataproc en el proyecto que las contiene.
Permisos por lotes
| Método | Permisos obligatorios |
|---|---|
| projects.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
1 dataproc.batches.create también requiere los permisos dataproc.batches.get y
dataproc.operations.get para poder obtener actualizaciones de estado
de la herramienta de línea de comandos gcloud.
Permisos de sesión
| Método | Permisos obligatorios |
|---|---|
| projects.locations.sessions.create | dataproc.sessions.create 1 |
| projects.locations.sessions.delete | dataproc.sessions.delete |
| projects.locations.sessions.get | dataproc.sessions.get |
| projects.locations.sessions.list | dataproc.sessions.list |
| projects.locations.sessions.terminate | dataproc.sessions.terminate |
1 dataproc.sessions.create también requiere los permisos dataproc.sessions.get y
dataproc.operations.get para poder obtener actualizaciones de estado
de la herramienta de línea de comandos gcloud.
Permisos de plantilla de tiempo de ejecución de la sesión
| Método | Permisos obligatorios |
|---|---|
| projects.locations.sessionTemplates.create | dataproc.sessionTemplates.create 1 |
| projects.locations.sessionTemplates.delete | dataproc.sessionTemplates.delete |
| projects.locations.sessionTemplates.get | dataproc.sessionTemplates.get |
| projects.locations.sessionTemplates.list | dataproc.sessionTemplates.list |
| projects.locations.sessionTemplates.update | dataproc.sessionTemplates.update |
1 dataproc.sessionTemplates.create también requiere los permisos dataproc.sessionTemplates.get y
dataproc.operations.get para poder obtener actualizaciones de estado
de la herramienta de línea de comandos gcloud.
Permisos de operaciones
| Método | Permisos obligatorios |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
1 Para cancelar operaciones por lotes, dataproc.operations.cancel también requiere el permiso dataproc.batches.cancel.
Roles de Serverless para Apache Spark
Los roles de gestión de identidades y accesos de Apache Spark sin servidor
son un conjunto de uno o varios permisos.
Asigna roles a usuarios o grupos para permitirles realizar acciones en los recursos de Serverless para Apache Spark de tu proyecto. Por ejemplo, el rol Lector de Dataproc contiene los permisos dataproc.batches y dataproc.sessions get y list, que te permiten obtener y mostrar lotes y sesiones de Serverless para Apache Spark en un proyecto.
En la siguiente tabla se indican los roles de gestión de identidades y accesos de Serverless para Apache Spark y los permisos asociados a cada rol:
| ID de rol | Permisos |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.batches.cancel dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list dataproc.sessions.get dataproc.sessions.list dataproc.sessionTemplates.get dataproc.sessionTemplates.list |
Roles de proyecto
También puedes definir permisos a nivel de proyecto mediante los roles de proyecto de gestión de identidades y accesos. A continuación, se muestra un resumen de los permisos asociados a los roles de proyecto de gestión de identidades y accesos:
| Rol de proyecto | Permisos |
|---|---|
| Lector de proyectos | Todos los permisos de proyecto para acciones de solo lectura que conservan el estado (get y list) |
| Editor del proyecto | Todos los permisos de lector de proyectos, además de todos los permisos de proyectos para realizar acciones que modifiquen el estado (crear, eliminar, actualizar, usar, cancelar, detener e iniciar) |
| Propietario del proyecto | Todos los permisos de editor de proyectos, además de los permisos para gestionar el control de acceso del proyecto (get/set IamPolicy) y para configurar la facturación del proyecto |
Funciones personalizadas
Los permisos de lote de Dataproc se pueden añadir a roles personalizados a través de la consola de Google Cloud o de la herramienta de línea de comandos gcloud.
Gestionar políticas de gestión de identidades y accesos
Puedes obtener y definir políticas de gestión de identidades y accesos mediante la Google Cloud consola, la API de gestión de identidades y accesos o la herramienta de línea de comandos gcloud.
- Para la consola de Google Cloud , consulta Control de acceso mediante la consola de Google Cloud .
- Para obtener información sobre la API, consulta Control de acceso mediante la API.
- Para obtener información sobre la herramienta de línea de comandos
gcloud, consulta Control de acceso con la herramienta de línea de comandos de Google Cloud CLI.