员工对 Dataproc 组件网关的访问权限

背景

借助员工身份联合，您可以使用外部身份提供方 (IdP) 对员工、合作伙伴和承包商进行身份验证和授权使用 Google Cloud 服务。

如果在项目中配置了员工身份联合，则外部身份用户可以使用 Google Cloud 控制台、Google Cloud CLI 和 Dataproc API 访问大多数 Dataproc 资源和功能，但以下资源和功能除外：

• Dataproc 组件网关
• GKE 上的 Dataproc
• Dataproc 个人身份验证
• 基于 Dataproc 服务账号的安全多租户
• “批处理”和“作业详情”页面的输出部分，以及 Google Cloud 控制台的“集群”和“作业列表”页面中的建议的提醒部分。

如何使用员工身份识别与 Dataproc 组件网关的联合

1. 按照配置员工身份联合指南，配置员工身份联合。

2. 向外部身份用户授予 dataproc.clusters.use 角色以允许访问 Dataproc 组件网关（请参阅向主帐号授予 IAM 角色）。

   • 如需了解如何在 IAM 政策中表示外部身份，请参阅在 IAM 政策中表示员工池用户。

3. 创建已启用组件网关的 Dataproc 集群。

访问集群网页界面

请参阅查看和访问组件网关网址，并注意外部身份用户的以下差异：

1. 只有使用外部身份进行了身份验证的用户才能访问外部身份的网址。如果用户在未登录的情况下访问外部身份的网址，系统会将其重定向到身份验证门户，用户会在其中指定员工池提供方名称。接下来，系统会将用户重定向到其身份提供方以登录。然后，系统会将用户重定向到组件网页界面。

2. 外部身份网址采用以下格式：

   https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
   

后续步骤

• 创建一个使用 Dataproc 组件的集群。