Autorizzazioni e ruoli IAM per Serverless per Apache Spark

Identity and Access Management (IAM) ti consente di controllare l'accesso di utenti e gruppi alle risorse del tuo progetto. Questo documento si concentra sulle autorizzazioni IAM pertinenti a Serverless for Apache Spark e sui ruoli IAM che concedono queste autorizzazioni.

Autorizzazioni per Serverless per Apache Spark

Le autorizzazioni Serverless per Apache Spark consentono agli utenti, inclusi i service account, di eseguire azioni sulle risorse Serverless per Apache Spark. Ad esempio, l'autorizzazione dataproc.batches.create ti consente di creare batch Serverless per Apache Spark nel tuo progetto. Non concedi direttamente le autorizzazioni agli utenti, ma assegni loro ruoli, che includono una o più autorizzazioni.

Le tabelle seguenti elencano le autorizzazioni necessarie per chiamare le API (metodi) Serverless for Apache Spark. Le tabelle sono organizzate in base alle API associate a ogni risorsa Serverless per Apache Spark (batch, sessioni, sessionTemplates e operazioni). Per un elenco delle autorizzazioni Google Cloud incluse in ogni ruolo, consulta la pagina Ruoli Dataproc.

Ambito delle autorizzazioni:l'ambito delle autorizzazioni di Serverless for Apache Spark elencate nelle tabelle seguenti è il progetto Google Cloud contenitore (ambito cloud-platform). Consulta Autorizzazioni account di servizio.

Esempi:

  • dataproc.batches.create consente la creazione di batch nel progetto contenitore.
  • dataproc.sessions.create consente la creazione di una sessione interattiva nel progetto contenitore.
  • dataproc.operations.list consente di elencare i dettagli delle operazioni Dataproc nel progetto contenitore.

Autorizzazioni batch

Metodo Autorizzazioni richieste
projects.locations.batches.create dataproc.batches.create 1
projects.locations.batches.delete dataproc.batches.delete
projects.locations.batches.get dataproc.batches.get
projects.locations.batches.list dataproc.batches.list

1 dataproc.batches.create richiede anche le autorizzazioni dataproc.batches.get e dataproc.operations.get per consentire di ricevere aggiornamenti di stato dallo strumento a riga di comando gcloud.

Autorizzazioni di sessione

Metodo Autorizzazioni richieste
projects.locations.sessions.create dataproc.sessions.create 1
projects.locations.sessions.delete dataproc.sessions.delete
projects.locations.sessions.get dataproc.sessions.get
projects.locations.sessions.list dataproc.sessions.list
projects.locations.sessions.terminate dataproc.sessions.terminate

1 dataproc.sessions.create richiede anche le autorizzazioni dataproc.sessions.get e dataproc.operations.get per consentire di ricevere aggiornamenti di stato dallo strumento a riga di comando gcloud.

Autorizzazioni del modello di runtime della sessione

Metodo Autorizzazioni richieste
projects.locations.sessionTemplates.create dataproc.sessionTemplates.create 1
projects.locations.sessionTemplates.delete dataproc.sessionTemplates.delete
projects.locations.sessionTemplates.get dataproc.sessionTemplates.get
projects.locations.sessionTemplates.list dataproc.sessionTemplates.list
projects.locations.sessionTemplates.update dataproc.sessionTemplates.update

1 dataproc.sessionTemplates.create richiede anche le autorizzazioni dataproc.sessionTemplates.get e dataproc.operations.get per consentire di ricevere aggiornamenti di stato dallo strumento a riga di comando gcloud.

Autorizzazioni per le operazioni

Metodo Autorizzazioni richieste
projects.regions.operations.get dataproc.operations.get
projects.regions.operations.list dataproc.operations.list
projects.regions.operations.cancel 1 dataproc.operations.cancel
projects.regions.operations.delete dataproc.operations.delete
projects.regions.operations.getIamPolicy dataproc.operations.getIamPolicy
projects.regions.operations.setIamPolicy dataproc.operations.setIamPolicy

1 Per annullare le operazioni batch, dataproc.operations.cancel richiede anche l'autorizzazione dataproc.batches.cancel.

Ruoli di Serverless per Apache Spark

I ruoli IAM di Serverless per Apache Spark sono un insieme di una o più autorizzazioni. Concedi ruoli a utenti o gruppi per consentire loro di eseguire azioni sulle risorse Serverless per Apache Spark nel tuo progetto. Ad esempio, il ruolo Visualizzatore Dataproc contiene le autorizzazioni dataproc.batches e dataproc.sessions get e list, che ti consentono di ottenere ed elencare batch e sessioni di Serverless for Apache Spark in un progetto.

La tabella seguente elenca i ruoli IAM di Serverless per Apache Spark e le autorizzazioni associate a ciascun ruolo:

ID ruolo Autorizzazioni
roles/dataproc.admin dataproc.batches.cancel
dataproc.batches.create
dataproc.batches.delete
dataproc.batches.get
dataproc.batches.list
dataproc.batches.cancel
dataproc.sessions.create
dataproc.sessions.delete
dataproc.sessions.get
dataproc.sessions.list
dataproc.sessions.terminate
dataproc.sessionTemplates.create
dataproc.sessionTemplates.delete
dataproc.sessionTemplates.get
dataproc.sessionTemplates.list
dataproc.sessionTemplates.update
roles/dataproc.editor dataproc.batches.cancel
dataproc.batches.create
dataproc.batches.delete
dataproc.batches.get
dataproc.batches.list
dataproc.sessions.create
dataproc.sessions.delete
dataproc.sessions.get
dataproc.sessions.list
dataproc.sessions.terminate
dataproc.sessionTemplates.create
dataproc.sessionTemplates.delete
dataproc.sessionTemplates.get
dataproc.sessionTemplates.list
dataproc.sessionTemplates.update
roles/dataproc.viewer dataproc.batches.get
dataproc.batches.list
dataproc.sessions.get
dataproc.sessions.list
dataproc.sessionTemplates.get
dataproc.sessionTemplates.list

Ruoli di progetto

Puoi anche impostare le autorizzazioni a livello di progetto utilizzando i ruoli Progetto IAM. Di seguito è riportato un riepilogo delle autorizzazioni associate ai ruoli di progetto IAM:

Ruolo progetto Autorizzazioni
Visualizzatore progetto Tutte le autorizzazioni del progetto per le azioni di sola lettura che conservano lo stato (get, list)
Editor progetto Tutte le autorizzazioni di Visualizzatore progetto più tutte le autorizzazioni di progetto per le azioni che modificano lo stato (crea, elimina, aggiorna, utilizza, annulla, arresta, avvia)
Proprietario progetto Tutte le autorizzazioni di Editor progetto più le autorizzazioni per gestire il controllo dell'accesso per il progetto (get/set IamPolicy) e per configurare la fatturazione del progetto

Ruoli personalizzati

Le autorizzazioni batch Dataproc possono essere aggiunte ai ruoli personalizzati tramite la console Google Cloud o lo strumento a riga di comando gcloud.

Gestione dei criteri IAM

Puoi ottenere e impostare i criteri IAM utilizzando la console Google Cloud , l'API IAM o lo strumento a riga di comandogcloud.

Passaggi successivi