Permisos y funciones de IAM sin servidores de Dataproc

Descripción general

La administración de identidades y accesos (IAM) te permite controlar el acceso de usuarios y grupos a los recursos de tu proyecto. Este documento se centra en los permisos de IAM relevantes para Dataproc Serverless y las funciones de IAM que otorgan esos permisos.

Permisos de Dataproc sin servidores

Los permisos sin servidores de Dataproc permiten que los usuarios, incluidas las cuentas de servicio, realicen acciones en los recursos sin servidores de Dataproc. Por ejemplo, el permiso dataproc.batches.create te permite crear lotes de Dataproc sin servidores en tu proyecto. No se otorgan permisos a los usuarios directamente, sino funciones, que incluyen uno o más permisos.

En las siguientes tablas, se enumeran los permisos necesarios para llamar a las API sin servidores de Dataproc (métodos). Las tablas se organizan según las API asociadas a cada recurso sin servidores de Dataproc (lotes y operaciones).

Permisos por lotes

Método Permisos necesarios
projects.locations.batches.create PCollection.batches.create1
projects.locations.batches.delete PCollection.batches.delete
projects.locations.batches.get dataproc.batches.get
projects.locations.batches.list dataproc.batches.list
  1. dataproc.batches.create también requiere los permisos dataproc.batches.get y dataproc.operations.get para permitirle obtener actualizaciones de estado desde la herramienta de línea de comandos de gcloud.

Permisos de operaciones

Método Permisos necesarios
projects.regions.operations.get dataproc.operations.get
projects.regions.operations.list dataproc.operations.list
projects.regions.operations.cancel1 dataproc.operations.cancel
projects.regions.operations.delete dataproc.operations.delete
projects.regions.operations.getIamPolicy dataproc.operations.getIamPolicy
projects.regions.operations.setIamPolicy dataproc.operations.setIamPolicy
  1. Para cancelar operaciones por lotes, dataproc.operations.cancel también requiere el permiso dataproc.batches.cancel.

Funciones de Dataproc sin servidores

Las funciones de IAM sin servidores de Dataproc son un conjunto de uno o más permisos. Debes otorgar funciones a usuarios o grupos para permitirles realizar acciones en los recursos de Dataproc sin servidores de tu proyecto. Por ejemplo, la función Visualizador de Dataproc contiene los permisos dataproc.batches.get y dataproc.batches.list, que te permiten obtener y enumerar los lotes sin servidores de Dataproc en un proyecto.

En la siguiente tabla, se enumeran las funciones de IAM sin servidores de Dataproc y los permisos asociados con cada función:

ID de la función Permisos
roles/dataproc.admin dataproc.batches.cancel
dataproc.batches.create
dataproc.batches.delete
dataproc.batches.get
dataproc.batches.list
roles/dataproc.editor dataproc.batches.cancel
dataproc.batches.create
dataproc.batches.delete
dataproc.batches.get
dataproc.batches.list
roles/dataproc.viewer dataproc.batches.get
dataproc.batches.list

Funciones de proyecto

También puedes establecer permisos a nivel del proyecto mediante las funciones de Proyecto de IAM. Aquí hay un resumen de los permisos asociados con las funciones de proyecto de IAM:

Función de proyecto Permisos
Visualizador del proyecto Todos los permisos de proyecto para acciones de solo lectura que conservan el estado (obtener y enumerar)
Editor de proyecto Todos los permisos de Lector del proyecto más todos los permisos del proyecto para acciones que modifican el estado (crear, borrar, actualizar, usar, detener y empezar)
Propietario del proyecto Todos los permisos de Editor del proyecto más los permisos para administrar el control de acceso del proyecto (obtener/configurar IamPolicy) y para configurar la facturación del proyecto

Funciones personalizadas

Los permisos por lotes de Dataproc se pueden agregar a las funciones personalizadas a través de la consola o la herramienta de línea de comandos de gcloud.

Administración de IAM

Puedes obtener y configurar políticas de IAM con Google Cloud Console, la API de IAM o la herramienta de línea de comandos de gcloud.

¿Qué sigue?