IAM detallada de Dataproc

La IAM detallada de Dataproc es una función que te permite otorgar permisos a nivel de políticas de ajuste de escala automático, clúster, trabajos, operaciones o plantilla de flujo de trabajo.

Ejemplo: puedes otorgar a un usuario la función de Lector de clúster, que le permite ver un clúster dentro de un proyecto, y otorgar a otro usuario la función de Editor de trabajos, que le permite, además de verlo, actualizar y cancelar el trabajo. Consulta Comandos del SDK que habilita la IAM detallada para comprender los comandos específicos de la CLI de Google Cloud que habilita cada función de la IAM detallada de Dataproc.

Funciones y permisos de la IAM detallada de Dataproc

Mediante la IAM detallada de Dataproc puedes establecer las siguientes funciones con los siguientes permisos en los recursos de Dataproc.

Funciones de Clúster

Función Permisos
Lector dataproc.clusters.get
Editor dataproc.clusters.get
dataproc.clusters.list
dataproc.clusters.delete
dataproc.clusters.update
dataproc.clusters.use
dataproc.clusters.start
dataproc.clusters.stop
Propietario dataproc.clusters.get
dataproc.clusters.list
dataproc.clusters.delete
dataproc.clusters.update
dataproc.clusters.use
dataproc.clusters.start
dataproc.clusters.stop
dataproc.clusters.setIamPolicy
dataproc.clusters.getIamPolicy

Funciones de trabajo

Función Permisos
Lector dataproc.jobs.get
Editor dataproc.jobs.get
dataproc.jobs.cancel
dataproc.jobs.delete
dataproc.jobs.update
Owner dataproc.jobs.get
dataproc.jobs.cancel
dataproc.jobs.delete
dataproc.jobs.update
dataproc.jobs.setIamPolicy
dataproc.jobs.getIamPolicy

Funciones de operación

Función Permisos
Lector dataproc.operations.get
Editor dataproc.jobs.get
dataproc.operations.cancel
dataproc.operations.delete
Owner dataproc.jobs.get
dataproc.operations.cancel
dataproc.operations.delete
dataproc.operations.setIamPolicy
dataproc.operations.getIamPolicy

Funciones de plantillas de flujo de trabajo

Función Permisos
Lector dataproc.workflowTemplates.get
Editor dataproc.workflowTemplates.get
dataproc.workflowTemplates.delete
dataproc.workflowTemplates.update
Owner dataproc.workflowTemplates.get
dataproc.workflowTemplates.delete
dataproc.workflowTemplates.update
dataproc.workflowTemplates.setIamPolicy
dataproc.workflowTemplates.getIamPolicy

Funciones de política de ajuste de escala automático

Función Permisos
Lector dataproc.autoscalingPolicies.get
Editor dataproc.autoscalingPolicies.get
dataproc.autoscalingPolicies.use
dataproc.autoscalingPolicies.delete
dataproc.autoscalingPolicies.update
Owner dataproc.autoscalingPolicies.get
dataproc.autoscalingPolicies.use
dataproc.autoscalingPolicies.delete
dataproc.autoscalingPolicies.update
dataproc.autoscalingPolicies.setIamPolicy
dataproc.autoscalingPolicies.getIamPolicy

Usa la IAM detallada de Dataproc

En esta sección, se explica cómo usar la IAM detallada de Cloud Dataproc para asignar funciones a los usuarios en un recurso existente de Dataproc. Consulta Cómo otorgar, cambiar y revocar el acceso para obtener más información general sobre cómo actualizar y quitar funciones de Identity and Access Management (IAM).

Comando de gcloud

  1. Obtén la política de IAM del recurso y escríbela en un archivo JSON (la resource-type puede ser "clústeres", "trabajos", "operaciones", "plantillas de flujo de trabajo" o "políticas de ajuste de escala automático"):
    gcloud dataproc resource-type get-iam-policy  resource-id \
        --region=region \
        --format=json > iam.json
    
  2. El contenido del archivo JSON se verá similar al siguiente ejemplo:
    {
      "bindings": [
        {
          "role": "roles/editor",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-other-app@appspot.gserviceaccount.com"
          ]
        }
      ],
      "etag": "string"
    }
    
  3. Con un editor de texto, agrega un objeto de vinculación nuevo al arreglo de vinculación que define los usuarios y la función de acceso a los recursos para esos usuarios. Por ejemplo, para otorgar la función de Visualizador (roles/viewer) al usuario sean@example.com, cambiarías el ejemplo anterior para agregar un nuevo objeto de vinculación (se muestra en negrita, a continuación). Nota: Asegúrate de mostrar el valor etag que recibiste de gcloud dataproc resource-type get-iam-policy (consulta la documentación de ETag).
    {
      "bindings": [
        {
          "role": "roles/editor",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-other-app@appspot.gserviceaccount.com"
          ]
        },
        {
          "role": "roles/viewer",
          "members": [
            "user:sean@example.com"
          ]
        }
      ],
      "etag": "value-from-get-iam-policy"
    }
    
  4. Actualiza la política del clúster con el arreglo de vinculación nuevo mediante la ejecución del siguiente comando (resource-type puede ser "clústeres", "trabajos", "operaciones", "plantillas de flujo de trabajo" o "políticas de ajuste de escala automático"):
    gcloud dataproc resource-type set-iam-policy resource-name \
        --region=region \
        --format=json iam.json
    
  5. El comando genera la política actualizada:
    {
      "bindings": [
        {
          "role": "roles/editor",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-other-app@appspot.gserviceaccount.com"
          ]
        },
        {
          "role": "roles/viewer",
          "members": [
            "user:sean@example.com"
          ]
        }
      ],
      "etag": "string"
    }
    

API de REST

  1. Emite una solicitud getIamPolicy resource-type ("clusters" or "jobs" or "operations" or "workflowTemplates" or "autoscalingPolicies") para obtener la política de IAM del recurso.

    Ejemplo de clúster getIamPolicy:

    GET https://dataproc.googleapis.com/v1/projects/projectName/regions/region/clusters/clusterName:getIamPolicy
    
  2. El contenido del archivo JSON se verá similar al siguiente ejemplo:
    {
      "bindings": [
        {
          "role": "roles/editor",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-other-app@appspot.gserviceaccount.com"
          ]
        }
      ],
      "etag": "string"
    }
    
  3. Con un editor de texto, crea el siguiente objeto de política JSON para encerrar los arreglos de vinculación que recibiste del servicio de Dataproc. Asegúrate de mostrar el valor “ETag” que recibiste en la respuesta de getIamPolicy (consulta la documentación de ETag). Ahora, agrega un objeto de vinculación nuevo al arreglo de vinculación que define los usuarios y la función de acceso al clúster para esos usuarios. Por ejemplo, para otorgar la función Lector (roles/viewer) al usuario sean@example.com, cambiarías el ejemplo anterior para agregar un nuevo objeto de vinculación (se muestra en negrita, a continuación).
    {
      "policy": {
        "version": "",
        "bindings": [
          {
            "role": "roles/editor",
            "members": [
              "user:mike@example.com",
              "group:admins@example.com",
              "domain:google.com",
              "serviceAccount:my-other-app@appspot.gserviceaccount.com"
            ]
          },
          {
            "role": "roles/viewer",
            "members": [
              "user:sean@example.com"
            ]
          }
        ],
        "etag": "value-from-getIamPolicy"
      }
    }
    
  4. Establece la política actualizada en el recurso mediante el envío de una solicitud setIamPolicy.

    Ejemplo de clúster setIamPolicy:

    POST https://dataproc.googleapis.com/v1/projects/projectName/regions/region/clusters/clusterName:setIamPolicy
    
    Request body
    {
      "policy": {
        "version": "",
        "bindings": [
          {
            "role": "roles/editor",
            "members": [
              "user:mike@example.com",
              "group:admins@example.com",
              "domain:google.com",
              "serviceAccount:my-other-app@appspot.gserviceaccount.com"
            ]
          },
          {
            "role": "roles/viewer",
            "members": [
              "user:sean@example.com"
            ]
          }
        ],
        "etag": "value-from-getIamPolicy"
      }
    }
    
  5. El contenido de la respuesta JSON se verá similar al siguiente ejemplo:

    Tiempo

    {
      "bindings": [
        {
          "role": "roles/editor",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-other-app@appspot.gserviceaccount.com"
          ]
        },
        {
          "role": "roles/viewer",
          "members": [
            "user:sean@example.com"
          ]
        }
      ],
      "etag": "string"
    }
    

Console

Ve a la sección Clústeres de Dataproc en la consola de Google Cloud y, luego, haz clic en el cuadro de la izquierda del nombre del bucket para abrir el panel Permisos/Etiquetas (si el no aparece, haz clic en MOSTRAR PANEL DE INFORMACIÓN en la esquina superior derecha de la página). En la pestaña Permisos, selecciona la función Dataproc, agrega una o más direcciones de cuenta en el cuadro Agregar principales y luego haz clic en Agregar.

Comandos del SDK que habilita la IAM detallada

En las siguientes tablas, se muestran los comandos de gcloud dataproc habilitados en los recursos de Dataproc por cada función de la IAM detallada.

Clústeres

Función de IAM Comando
Lector gcloud dataproc clusters describe cluster-name
Editor gcloud dataproc clusters describe cluster-name
gcloud dataproc clusters list
gcloud dataproc clusters delete cluster-name
gcloud dataproc clusters diagnose cluster-name
gcloud dataproc clusters update cluster-name
gcloud beta dataproc clusters start cluster-name
gcloud beta dataproc clusters stop cluster-name
Propietario gcloud dataproc clusters describe cluster-name
gcloud dataproc clusters list
gcloud dataproc clusters delete cluster-name
gcloud dataproc clusters diagnose cluster-name
gcloud dataproc clusters update cluster-name
gcloud beta dataproc clusters start cluster-name
gcloud beta dataproc clusters stop cluster-name
gcloud dataproc clusters get-iam-policy cluster-name
gcloud dataproc clusters set-iam-policy cluster-name

Trabajos

Función de IAM Comando
Lector gcloud dataproc jobs describe job-id
Editor gcloud dataproc jobs delete job-id
gcloud dataproc jobs describe job-id
gcloud dataproc jobs kill job-id
gcloud dataproc jobs update job-id
gcloud dataproc jobs wait job-id
Propietario gcloud dataproc jobs delete job-id
gcloud dataproc jobs describe job-id
gcloud dataproc jobs kill job-id
gcloud dataproc jobs update job-id
gcloud dataproc jobs wait job-id
gcloud dataproc jobs get-iam-policy job-id
gcloud dataproc jobs set-iam-policy job-id

Operaciones

Función de IAM Comando
Lector gcloud dataproc operations describe operation-id
Editor gcloud dataproc operations delete operation-id
gcloud dataproc operations describe operation-id
gcloud dataproc operations cancel operation-id
Propietario gcloud dataproc operations delete operation-id
gcloud dataproc operations describe operation-id
gcloud dataproc operations cancel operation-id
gcloud dataproc operations get-iam-policy operation-id
gcloud dataproc operations set-iam-policy operation-id

Plantillas de flujo de trabajo

Función de IAM Comando
Lector gcloud dataproc workflow-templates describe template-id
Editor gcloud dataproc workflow-templates delete template-id
gcloud dataproc workflow-templates describe template-id
gcloud dataproc workflow-templates remove-job template-id
gcloud dataproc workflow-templates run template-id
Owner gcloud dataproc workflow-templates delete template-id
gcloud dataproc workflow-templates describe template-id
gcloud dataproc workflow-templates remove-job template-id
gcloud dataproc workflow-templates run template-id
gcloud dataproc workflow-templates get-iam-policy template-id
gcloud dataproc workflow-templates set-iam-policy template-id

Políticas de ajuste de escala automático

Función de IAM Comando
Lector gcloud dataproc autoscaling-policies describe policy-id
Editor gcloud dataproc autoscaling-policies delete policy-id
gcloud dataproc autoscaling-policies describe policy-id
gcloud dataproc autoscaling-policies update policy-id
gcloud dataproc clusters create cluster-name --autoscaling-policy policy-id
Propietario gcloud dataproc autoscaling-policies delete policy-id
gcloud dataproc autoscaling-policies describe policy-id
gcloud dataproc autoscaling-policies update policy-id
gcloud dataproc clusters create cluster-name --autoscaling-policy policy-id
gcloud dataproc autoscaling-policies get-iam-policy policy-id
gcloud dataproc autoscaling-policies set-iam-policy policy-id

Envía trabajos con la IAM detallada

Para permitir a un principal (usuario, grupo o cuenta de servicio) enviar trabajos a un clúster específico con la IAM detallada de Cloud Dataproc, además de otorgar a un usuario la función de Editor en un clúster, se deben establecer permisos adicionales a nivel de proyecto. Estos son los pasos que se deben seguir para permitir a un principal enviar trabajos en un clúster específico de Dataproc:

  1. Crea un depósito de Cloud Storage que pueda usar tu clúster para conectarse a Cloud Storage.
  2. Agrega el principal a la política a nivel bucket y selecciona la función Visualizador de objetos de almacenamiento para el principal (consulta roles/storage.objectViewer), que incluye los siguientes permisos:
    1. storage.objects.get
    2. storage.objects.list
  3. Cuando crees el clúster, pasa el nombre del depósito que acabas de crear a tu clúster con el parámetro --bucket (consulta gcloud dataproc clusters create --bucket).
  4. Después de crear el clúster, establece una política en este que le otorgue al principal la función de Editor o Propietario (consulta Usa la IAM detallada de Dataproc).
  5. Crea una función personalizada de IAM con los siguientes permisos:
    1. dataproc.jobs.create
    2. dataproc.jobs.get
  6. Selecciona o agrega la principal en la consola de Google Cloud IAM y, luego, selecciona el rol personalizado para aplicarlo al principal.