Présentation
La gestion de l'authentification et des accès (IAM) vous permet de contrôler l'accès des utilisateurs et des groupes aux ressources de votre projet. Ce document traite des autorisations IAM pertinentes pour Dataproc sans serveur et des rôles IAM qui les octroient.
Autorisations Dataproc sans serveur
Les autorisations sans serveur Dataproc permettent aux utilisateurs, y compris aux comptes de service, d'effectuer des actions sur les ressources sans serveur Dataproc. Par exemple, l'autorisation dataproc.batches.create vous permet de créer des lots sans serveur Dataproc dans votre projet.
Vous n'accordez pas directement des autorisations aux utilisateurs, mais vous leur attribuez des rôles auxquels sont associées une ou plusieurs autorisations.
Les tableaux suivants répertorient les autorisations nécessaires pour appeler les API (sans serveur) Dataproc sans serveur. Les tables sont organisées en fonction des API associées à chaque ressource sans serveur Dataproc (lots et opérations).
Autorisations par lot
| Méthode | Autorisations requises |
|---|---|
| projets.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
dataproc.batches.createnécessite également les autorisationsdataproc.batches.getetdataproc.operations.getpour lui permettre de recevoir les mises à jour d'état à partir de l'outil de ligne de commandegcloud.
Autorisations d'opérations
| Méthode | Autorisations requises |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.Operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getiamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setiamPolicy |
- Pour annuler des opérations par lot,
dataproc.operations.cancelnécessite également l'autorisationdataproc.batches.cancel.
Rôles Dataproc sans serveur
Les rôles IAM sans serveur Dataproc correspondent à un ou plusieurs autorisations.
Vous pouvez attribuer des rôles aux utilisateurs ou aux groupes pour leur permettre d'effectuer des actions sur les ressources sans serveur Dataproc dans votre projet. Par exemple, le rôle Lecteur Dataproc contient les autorisations dataproc.batches.get et dataproc.batches.list, ce qui vous permet d'obtenir et de répertorier des lots Dataproc sans serveur dans un projet.
Le tableau suivant répertorie les rôles IAM sans serveur Dataproc et les autorisations associées à chaque rôle:
| ID de rôle | Permissions |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list |
Rôles au niveau du projet
Il est possible d'obtenir des autorisations au niveau du projet en utilisant les rôles IAM Projet. Voici un aperçu des permissions correspondantes aux rôles de projet IAM.
| Rôle de projet | Autorisations |
|---|---|
| Lecteur de projets | Toutes les autorisations de projet pour les actions en lecture seule préservant l'état (get, list) |
| Éditeur de projet | Toutes les autorisations lecteur de projet, ainsi que toutes les autorisations de projet pour les actions qui modifient l'état (créer, supprimer, mettre à jour, utiliser, annuler, arrêter, démarrer) |
| Propriétaire du projet | Toutes les autorisations de l'éditeur de projet, ainsi que celles permettant de gérer le contrôle d'accès au projet (get / set IamPolicy) et de configurer la facturation du projet |
Rôles personnalisés
Les autorisations par lot Dataproc peuvent être ajoutées aux rôles personnalisés via la console ou l'outil de ligne de commande gcloud.
Gestion de l'IAM
Vous pouvez obtenir et définir des stratégies IAM à l'aide de Google Cloud Console, de l'API IAM ou de l'outil de ligne de commande gcloud.
- Pour Google Cloud Console, consultez la section Contrôle des accès via Google Cloud Console.
- Pour l'API, consultez Contrôle d'accès via les API.
- Pour l'outil de ligne de commande
gcloud, consultez la section Contrôle des accès via l'outil de ligne de commande gcloud.