Descripción general
La administración de identidades y accesos (IAM) te permite controlar el acceso de usuarios y grupos a los recursos de tu proyecto. Este documento se centra en los permisos de IAM relevantes para Dataproc Serverless y las funciones de IAM que otorgan esos permisos.
Permisos de Dataproc sin servidores
Los permisos sin servidores de Dataproc permiten que los usuarios, incluidas las cuentas de servicio, realicen acciones en los recursos sin servidores de Dataproc. Por ejemplo, el permiso dataproc.batches.create te permite crear lotes de Dataproc sin servidores en tu proyecto.
No se otorgan permisos a los usuarios directamente, sino funciones, que incluyen uno o más permisos.
En las siguientes tablas, se enumeran los permisos necesarios para llamar a las API sin servidores de Dataproc (métodos). Las tablas se organizan según las API asociadas a cada recurso sin servidores de Dataproc (lotes y operaciones).
Permisos por lotes
| Método | Permisos necesarios |
|---|---|
| projects.locations.batches.create | PCollection.batches.create1 |
| projects.locations.batches.delete | PCollection.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
dataproc.batches.createtambién requiere los permisosdataproc.batches.getydataproc.operations.getpara permitirle obtener actualizaciones de estado desde la herramienta de línea de comandos degcloud.
Permisos de operaciones
| Método | Permisos necesarios |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
- Para cancelar operaciones por lotes,
dataproc.operations.canceltambién requiere el permisodataproc.batches.cancel.
Funciones de Dataproc sin servidores
Las funciones de IAM sin servidores de Dataproc son un conjunto de uno o más permisos.
Debes otorgar funciones a usuarios o grupos para permitirles realizar acciones en los recursos de Dataproc sin servidores de tu proyecto. Por ejemplo, la función Visualizador de Dataproc contiene los permisos dataproc.batches.get y dataproc.batches.list, que te permiten obtener y enumerar los lotes sin servidores de Dataproc en un proyecto.
En la siguiente tabla, se enumeran las funciones de IAM sin servidores de Dataproc y los permisos asociados con cada función:
| ID de la función | Permisos |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list |
Funciones de proyecto
También puedes establecer permisos a nivel del proyecto mediante las funciones de Proyecto de IAM. Aquí hay un resumen de los permisos asociados con las funciones de proyecto de IAM:
| Función de proyecto | Permisos |
|---|---|
| Visualizador del proyecto | Todos los permisos de proyecto para acciones de solo lectura que conservan el estado (obtener y enumerar) |
| Editor de proyecto | Todos los permisos de Lector del proyecto más todos los permisos del proyecto para acciones que modifican el estado (crear, borrar, actualizar, usar, detener y empezar) |
| Propietario del proyecto | Todos los permisos de Editor del proyecto más los permisos para administrar el control de acceso del proyecto (obtener/configurar IamPolicy) y para configurar la facturación del proyecto |
Funciones personalizadas
Los permisos por lotes de Dataproc se pueden agregar a las funciones personalizadas a través de la consola o la herramienta de línea de comandos de gcloud.
Administración de IAM
Puedes obtener y configurar políticas de IAM con Google Cloud Console, la API de IAM o la herramienta de línea de comandos de gcloud.
- Para Google Cloud Console, consulta Control de acceso a través de Google Cloud Console.
- Para la API, consulta Control de acceso a través de la API.
- Para la herramienta de línea de comandos de
gcloud, consulta la sección sobre control de acceso a través de la herramienta de línea de comandos de gcloud.