工作人員可存取 Dataproc 元件閘道

背景

員工身分聯盟可讓您使用外部識別資訊提供者 (IdP) 驗證工作團隊員工、合作夥伴和承包商，並授權他們存取 Google Cloud 服務。

如果專案中已設定員工身分聯盟，外部身分使用者可以透過 Google Cloud 控制台、Google Cloud CLI 和 Dataproc API 存取大部分的 Dataproc 資源和功能，但下列項目除外：

• Dataproc 元件閘道
• Dataproc on GKE
• Dataproc 個人驗證
• 以 Dataproc 服務帳戶為基礎的多用戶群安全架構
• 批次和工作詳細資料頁面的「輸出」部分，以及 Google Cloud 控制台叢集和工作清單頁面的「建議的快訊」部分。

搭配 Dataproc Component Gateway 使用員工身分聯盟

1. 請按照「設定員工身分聯盟」指南設定員工身分聯盟。

2. 將 dataproc.clusters.use 角色授予外部身分使用者，允許存取 Dataproc 元件閘道 (請參閱「將 IAM 角色授予主體」)。

   • 如要瞭解如何在 IAM 政策中表示外部身分，請參閱「在 IAM 政策中表示員工集區使用者」。

3. 建立已啟用元件閘道的 Dataproc 叢集。

存取叢集網路介面

請參閱「查看及存取元件閘道網址」，並注意外部身分使用者有下列差異：

1. 只有通過外部身分驗證的使用者，才能存取外部身分網址。如果使用者在未登入的情況下造訪外部身分網址，系統會將他們重新導向至驗證入口，並要求指定工作團隊集區提供者名稱。接著，系統會將他們重新導向至身分識別供應商登入。然後重新導向至元件網頁介面。

2. 外部身分網址的格式如下：

   https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
   

後續步驟

• 使用 Dataproc 元件建立叢集。