Identity and Access Management (IAM) ti consente di controllare l'accesso di utenti e gruppi alle risorse del tuo progetto. Questo documento si concentra sulle autorizzazioni IAM pertinenti a Serverless for Apache Spark e sui ruoli IAM che concedono queste autorizzazioni.
Autorizzazioni per Serverless per Apache Spark
Le autorizzazioni Serverless per Apache Spark consentono agli utenti, inclusi
i service account,
di eseguire azioni sulle risorse
Serverless per Apache Spark. Ad esempio, l'autorizzazione dataproc.batches.create
ti consente di creare batch Serverless per Apache Spark nel tuo progetto.
Non concedi direttamente le autorizzazioni agli utenti, ma assegni loro
ruoli, che includono una o più autorizzazioni.
Le tabelle seguenti elencano le autorizzazioni necessarie per chiamare le API (metodi) Serverless for Apache Spark. Le tabelle sono organizzate in base alle API associate a ogni risorsa Serverless per Apache Spark (batch, sessioni, sessionTemplates e operazioni). Per un elenco delle autorizzazioni Google Cloud incluse in ogni ruolo, consulta la pagina Ruoli Dataproc.
Ambito delle autorizzazioni:l'ambito delle autorizzazioni di Serverless for Apache Spark elencate nelle tabelle seguenti è il progetto Google Cloud
contenitore (ambito cloud-platform). Consulta
Autorizzazioni account di servizio.
Esempi:
dataproc.batches.createconsente la creazione di batch nel progetto contenitore.dataproc.sessions.createconsente la creazione di una sessione interattiva nel progetto contenitore.dataproc.operations.listconsente di elencare i dettagli delle operazioni Dataproc nel progetto contenitore.
Autorizzazioni batch
| Metodo | Autorizzazioni richieste |
|---|---|
| projects.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
1 dataproc.batches.create richiede anche le autorizzazioni dataproc.batches.get e
dataproc.operations.get per consentire di ricevere aggiornamenti di stato
dallo strumento a riga di comando gcloud.
Autorizzazioni di sessione
| Metodo | Autorizzazioni richieste |
|---|---|
| projects.locations.sessions.create | dataproc.sessions.create 1 |
| projects.locations.sessions.delete | dataproc.sessions.delete |
| projects.locations.sessions.get | dataproc.sessions.get |
| projects.locations.sessions.list | dataproc.sessions.list |
| projects.locations.sessions.terminate | dataproc.sessions.terminate |
1 dataproc.sessions.create richiede anche le autorizzazioni dataproc.sessions.get e
dataproc.operations.get per consentire di ricevere aggiornamenti di stato
dallo strumento a riga di comando gcloud.
Autorizzazioni del modello di runtime della sessione
| Metodo | Autorizzazioni richieste |
|---|---|
| projects.locations.sessionTemplates.create | dataproc.sessionTemplates.create 1 |
| projects.locations.sessionTemplates.delete | dataproc.sessionTemplates.delete |
| projects.locations.sessionTemplates.get | dataproc.sessionTemplates.get |
| projects.locations.sessionTemplates.list | dataproc.sessionTemplates.list |
| projects.locations.sessionTemplates.update | dataproc.sessionTemplates.update |
1 dataproc.sessionTemplates.create richiede anche le autorizzazioni dataproc.sessionTemplates.get e
dataproc.operations.get per consentire di ricevere aggiornamenti di stato
dallo strumento a riga di comando gcloud.
Autorizzazioni per le operazioni
| Metodo | Autorizzazioni richieste |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
1 Per annullare le operazioni batch, dataproc.operations.cancel richiede anche
l'autorizzazione dataproc.batches.cancel.
Ruoli di Serverless per Apache Spark
I ruoli IAM di Serverless per Apache Spark
sono un insieme di una o più autorizzazioni.
Concedi ruoli a utenti o gruppi per consentire loro di eseguire azioni sulle risorse Serverless per Apache Spark nel tuo progetto. Ad esempio, il ruolo Visualizzatore Dataproc contiene le autorizzazioni
dataproc.batches e dataproc.sessions get e list, che
ti consentono di ottenere ed elencare batch e sessioni di Serverless for Apache Spark in un progetto.
La tabella seguente elenca i ruoli IAM di Serverless per Apache Spark e le autorizzazioni associate a ciascun ruolo:
| ID ruolo | Autorizzazioni |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.batches.cancel dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list dataproc.sessions.get dataproc.sessions.list dataproc.sessionTemplates.get dataproc.sessionTemplates.list |
Ruoli di progetto
Puoi anche impostare le autorizzazioni a livello di progetto utilizzando i ruoli Progetto IAM. Di seguito è riportato un riepilogo delle autorizzazioni associate ai ruoli di progetto IAM:
| Ruolo progetto | Autorizzazioni |
|---|---|
| Visualizzatore progetto | Tutte le autorizzazioni del progetto per le azioni di sola lettura che conservano lo stato (get, list) |
| Editor progetto | Tutte le autorizzazioni di Visualizzatore progetto più tutte le autorizzazioni di progetto per le azioni che modificano lo stato (crea, elimina, aggiorna, utilizza, annulla, arresta, avvia) |
| Proprietario progetto | Tutte le autorizzazioni di Editor progetto più le autorizzazioni per gestire il controllo dell'accesso per il progetto (get/set IamPolicy) e per configurare la fatturazione del progetto |
Ruoli personalizzati
Le autorizzazioni batch Dataproc possono essere aggiunte ai ruoli personalizzati tramite la console Google Cloud o lo strumento a riga di comando gcloud.
Gestione dei criteri IAM
Puoi ottenere e impostare i criteri IAM utilizzando la console Google Cloud , l'API IAM o lo strumento a riga di comandogcloud.
- Per la console Google Cloud , consulta Controllo dell'accesso tramite la console Google Cloud .
- Per l'API, vedi Controllo dell'accesso tramite l'API.
- Per lo strumento a riga di comando
gcloud, consulta Controllo dell'accesso utilizzando lo strumento a riga di comando Google Cloud CLI.