Autorisations sans serveur et rôles IAM Dataproc

Présentation

La gestion de l'authentification et des accès (IAM) vous permet de contrôler l'accès des utilisateurs et des groupes aux ressources de votre projet. Ce document traite des autorisations IAM pertinentes pour Dataproc sans serveur et des rôles IAM qui les octroient.

Autorisations Dataproc sans serveur

Les autorisations sans serveur Dataproc permettent aux utilisateurs, y compris aux comptes de service, d'effectuer des actions sur les ressources sans serveur Dataproc. Par exemple, l'autorisation dataproc.batches.create vous permet de créer des lots sans serveur Dataproc dans votre projet. Vous n'accordez pas directement des autorisations aux utilisateurs, mais vous leur attribuez des rôles auxquels sont associées une ou plusieurs autorisations.

Les tableaux suivants répertorient les autorisations nécessaires pour appeler les API (sans serveur) Dataproc sans serveur. Les tables sont organisées en fonction des API associées à chaque ressource sans serveur Dataproc (lots et opérations).

Autorisations par lot

Méthode Autorisations requises
projets.locations.batches.create dataproc.batches.create 1
projects.locations.batches.delete dataproc.batches.delete
projects.locations.batches.get dataproc.batches.get
projects.locations.batches.list dataproc.batches.list
  1. dataproc.batches.create nécessite également les autorisations dataproc.batches.get et dataproc.operations.get pour lui permettre de recevoir les mises à jour d'état à partir de l'outil de ligne de commande gcloud.

Autorisations d'opérations

Méthode Autorisations requises
projects.regions.operations.get dataproc.operations.get
projects.regions.operations.list dataproc.operations.list
projects.regions.Operations.cancel 1 dataproc.operations.cancel
projects.regions.operations.delete dataproc.operations.delete
projects.regions.operations.getIamPolicy dataproc.operations.getiamPolicy
projects.regions.operations.setIamPolicy dataproc.operations.setiamPolicy
  1. Pour annuler des opérations par lot, dataproc.operations.cancel nécessite également l'autorisation dataproc.batches.cancel.

Rôles Dataproc sans serveur

Les rôles IAM sans serveur Dataproc correspondent à un ou plusieurs autorisations. Vous pouvez attribuer des rôles aux utilisateurs ou aux groupes pour leur permettre d'effectuer des actions sur les ressources sans serveur Dataproc dans votre projet. Par exemple, le rôle Lecteur Dataproc contient les autorisations dataproc.batches.get et dataproc.batches.list, ce qui vous permet d'obtenir et de répertorier des lots Dataproc sans serveur dans un projet.

Le tableau suivant répertorie les rôles IAM sans serveur Dataproc et les autorisations associées à chaque rôle:

ID de rôle Permissions
roles/dataproc.admin dataproc.batches.cancel
dataproc.batches.create
dataproc.batches.delete
dataproc.batches.get
dataproc.batches.list
roles/dataproc.editor dataproc.batches.cancel
dataproc.batches.create
dataproc.batches.delete
dataproc.batches.get
dataproc.batches.list
roles/dataproc.viewer dataproc.batches.get
dataproc.batches.list

Rôles au niveau du projet

Il est possible d'obtenir des autorisations au niveau du projet en utilisant les rôles IAM Projet. Voici un aperçu des permissions correspondantes aux rôles de projet IAM.

Rôle de projet Autorisations
Lecteur de projets Toutes les autorisations de projet pour les actions en lecture seule préservant l'état (get, list)
Éditeur de projet Toutes les autorisations lecteur de projet, ainsi que toutes les autorisations de projet pour les actions qui modifient l'état (créer, supprimer, mettre à jour, utiliser, annuler, arrêter, démarrer)
Propriétaire du projet Toutes les autorisations de l'éditeur de projet, ainsi que celles permettant de gérer le contrôle d'accès au projet (get / set IamPolicy) et de configurer la facturation du projet

Rôles personnalisés

Les autorisations par lot Dataproc peuvent être ajoutées aux rôles personnalisés via la console ou l'outil de ligne de commande gcloud.

Gestion de l'IAM

Vous pouvez obtenir et définir des stratégies IAM à l'aide de Google Cloud Console, de l'API IAM ou de l'outil de ligne de commande gcloud.

Étapes suivantes