Rôles et autorisations IAM de Dataproc

Présentation

Identity and Access Management (IAM) vous permet de contrôler l'accès des utilisateurs et des groupes aux ressources du projet. Ce document met l'accent sur les autorisations IAM pertinentes pour Dataproc et sur les rôles IAM qui accordent ces autorisations.

Autorisations Dataproc

Les autorisations Dataproc permettent aux utilisateurs, y compris aux comptes de service, d'effectuer des actions sur les clusters, les tâches, les opérations et les modèles de workflow Dataproc. Par exemple, l'autorisation dataproc.clusters.create permet à un utilisateur de créer des clusters Dataproc dans un projet. En règle générale, vous n'accordez pas d'autorisations, mais des rôles qui incluent une ou plusieurs autorisations.

Les tableaux ci-dessous répertorient les autorisations nécessaires pour appeler les API (méthodes) Dataproc. Ils sont organisés en fonction des API associées à chaque ressource Dataproc (clusters, tâches, opérations et modèles de workflow).

Champ d'application des autorisations:le champ d'application des autorisations Dataproc répertoriées dans les tableaux suivants correspond au projet Google Cloud associé (niveau d'accès cloud-platform). Consultez la section sur les autorisations de compte de service.
Exemples :

dataproc.clusters.create permet de créer des clusters Dataproc dans le projet associé.
dataproc.jobs.create permet d'envoyer des tâches Dataproc aux clusters Dataproc dans le projet associé.
dataproc.clusters.list permet de répertorier les détails des clusters Dataproc dans le projet associé.

Autorisations de clusters

Méthode	Autorisations requises
projects.regions.clusters.create ^{1, 2}	dataproc.clusters.create
projects.regions.clusters.get	dataproc.clusters.get
projects.regions.clusters.list	dataproc.clusters.list
projects.regions.clusters.patch ^{1, 2, 3}	dataproc.clusters.update
projects.regions.clusters.delete ¹	dataproc.clusters.delete
projects.regions.clusters.start	dataproc.clusters.start
projects.regions.clusters.stop	dataproc.clusters.stop
projects.regions.clusters.getIamPolicy	dataproc.clusters.getIamPolicy
projects.regions.clusters.setIamPolicy	dataproc.clusters.setIamPolicy

Remarques :

L'autorisation dataproc.operations.get est également requise pour obtenir les mises à jour d'état de la Google Cloud CLI.
L'autorisation dataproc.clusters.get est également requise pour obtenir le résultat de l'opération à partir de Google Cloud CLI.
L'autorisation dataproc.autoscalingPolicies.use est également requise pour activer une règle d'autoscaling sur un cluster.

Autorisations des tâches

Méthode	Autorisations requises
projects.regions.jobs.submit ^{1, 2}	dataproc.jobs.create dataproc.clusters.use
projects.regions.jobs.get	dataproc.jobs.get
projects.regions.jobs.list	dataproc.jobs.list
projects.regions.jobs.cancel ¹	dataproc.jobs.cancel
projects.regions.jobs.patch ¹	dataproc.jobs.update
projects.regions.jobs.delete ¹	dataproc.jobs.delete
projects.regions.jobs.getIamPolicy	dataproc.jobs.getIamPolicy
projects.regions.jobs.setIamPolicy	dataproc.jobs.setIamPolicy

Remarques :

La Google Cloud CLI nécessite également l'autorisation dataproc.jobs.get pour les commandes jobs submit, jobs wait, jobs update, jobs delete et jobs kill.
La gcloud CLI nécessite également l'autorisation dataproc.clusters.get pour envoyer des tâches. Pour obtenir un exemple de définition des autorisations nécessaires pour qu'un utilisateur exécute gcloud dataproc jobs submit sur un cluster à l'aide de l'IAM précise de Dataproc (consultez la section Envoyer des tâches avec l'IAM précise).

Autorisations d'opérations

Méthode	Autorisations requises
projects.regions.operations.get	dataproc.operations.get
projects.regions.operations.list	dataproc.operations.list
projects.regions.operations.cancel	dataproc.operations.cancel
projects.regions.operations.delete	dataproc.operations.delete
projects.regions.operations.getIamPolicy	dataproc.operations.getIamPolicy
projects.regions.operations.setIamPolicy	dataproc.operations.setIamPolicy

Autorisations des modèles de workflow

Méthode	Autorisations requises
projects.regions.workflowTemplates.instantiate	dataproc.workflowTemplates.instantiate
projects.regions.workflowTemplates.instantiateInline	dataproc.workflowTemplates.instantiateInline
projects.regions.workflowTemplates.create	dataproc.workflowTemplates.create
projects.regions.workflowTemplates.get	dataproc.workflowTemplates.get
projects.regions.workflowTemplates.list	dataproc.workflowTemplates.list
projects.regions.workflowTemplates.update	dataproc.workflowTemplates.update
projects.regions.workflowTemplates.delete	dataproc.workflowTemplates.delete
projects.regions.workflowTemplates.getIamPolicy	dataproc.workflowTemplates.getIamPolicy
projects.regions.workflowTemplates.setIamPolicy	dataproc.workflowTemplates.setIamPolicy

Notes :

Les autorisations des modèles de flux de travail sont indépendantes des autorisations de clusters et de tâches. Un utilisateur qui ne dispose pas des autorisations create cluster ou submit job peut créer et instancier un modèle de workflow.
La Google Cloud CLI nécessite également l'autorisation dataproc.operations.get pour interroger l'achèvement du workflow.
L'autorisation dataproc.operations.cancel est requise pour annuler un workflow en cours d'exécution.

Autorisations liées aux règles d'autoscaling

Méthode	Autorisations requises
projects.regions.autoscalingPolicies.create	dataproc.autoscalingPolicies.create
projects.regions.autoscalingPolicies.get	dataproc.autoscalingPolicies.get
projects.regions.autoscalingPolicies.list	dataproc.autoscalingPolicies.list
projects.regions.autoscalingPolicies.update	dataproc.autoscalingPolicies.update
projects.regions.autoscalingPolicies.delete	dataproc.autoscalingPolicies.delete
projects.regions.autoscalingPolicies.getIamPolicy	dataproc.autoscalingPolicies.getIamPolicy
projects.regions.autoscalingPolicies.setIamPolicy	dataproc.autoscalingPolicies.setIamPolicy

Notes :

L'autorisation dataproc.autoscalingPolicies.use est requise pour activer une règle d'autoscaling sur un cluster avec une requête de méthode clusters.patch.

Autorisations des groupes de nœuds

Méthode	Autorisations requises
projects.regions.nodeGroups.create	dataproc.nodeGroups.create
projects.regions.nodeGroups.get	dataproc.nodeGroups.get
projects.regions.nodeGroups.resize	dataproc.nodeGroups.update

Rôles Dataproc

Les rôles IAM Dataproc regroupent une ou plusieurs autorisations. Vous attribuez des rôles à des utilisateurs ou à des groupes pour leur permettre d'effectuer des actions sur les ressources Dataproc d'un projet. Par exemple, le rôle Lecteur Dataproc comporte les autorisations dataproc.*.get et dataproc.*.list, qui permettent à un utilisateur d'obtenir et de répertorier des clusters, des tâches et des opérations Dataproc dans un projet.

Le tableau suivant répertorie les rôles IAM Dataproc et les autorisations associées à chaque rôle :

ID de rôle	Permissions
roles/dataproc.admin	dataproc..getIamPolicy dataproc..setIamPolicy dataproc..create dataproc..get dataproc..list dataproc..delete dataproc.*.update dataproc.clusters.use dataproc.clusters.start dataproc.clusters.stop dataproc.jobs.cancel dataproc.workflowTemplates.instantiate dataproc.workflowTemplates.instantiateInline compute.machineTypes.get compute.machineTypes.list compute.networks.get compute.networks.list compute.projects.get compute.regions.get compute.regions.list compute.zones.get compute.zones.list resourcemanager.projects.get resourcemanager.projects.list
roles/dataproc.editor	dataproc..create dataproc..get dataproc..list dataproc..delete dataproc.*.update dataproc.clusters.use dataproc.clusters.start dataproc.clusters.stop dataproc.jobs.cancel dataproc.workflowTemplates.instantiate dataproc.workflowTemplates.instantiateInline compute.machineTypes.get compute.machineTypes.list compute.networks.get compute.networks.list compute.projects.get compute.regions.get compute.regions.list compute.zones.get compute.zones.list resourcemanager.projects.get resourcemanager.projects.list
roles/dataproc.viewer	dataproc..get dataproc..list compute.machineTypes.get compute.regions.get compute.regions.list compute.zones.get resourcemanager.projects.get resourcemanager.projects.list
roles/dataproc.worker (pour les comptes de service uniquement)	dataproc.agents.* dataproc.tasks.* logging.logEntries.create monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.timeSeries.create storage.buckets.get storage.objects.create storage.objects.get storage.objects.list storage.objects.update storage.objects.delete storage.objects.getIamPolicy storage.objects.setIamPolicy

Remarques :

"*" signifie "clusters", "tâches" ou "opérations", sauf que les seules autorisations associées à dataproc.operations. sont get, list et delete.
Les autorisations compute répertoriées précédemment sont nécessaires ou recommandées pour créer et afficher des clusters Dataproc lorsque vous utilisez la console Google Cloud ou la gcloud CLI dans la Google Cloud CLI.
Pour autoriser un utilisateur à télécharger des fichiers, accordez-lui le rôle Storage Object Creator (Créateur des objets de l'espace de stockage). Pour autoriser un utilisateur à afficher le résultat de la tâche, accordez-lui le rôle Storage Object Viewer (Lecteur des objets de l'espace de stockage). L'attribution de l'un de ces rôles Cloud Storage à l'utilisateur permet d'accéder à n'importe quel bucket du projet.
Un utilisateur doit disposer de l'autorisation monitoring.timeSeries.list pour pouvoir afficher les graphiques dans la console Google Cloud → Dataproc → Détails du cluster, onglet "Présentation".
Un utilisateur doit disposer de l'autorisation compute.instances.list pour pouvoir afficher l'état de l'instance et le menu SSH de l'instance maître dans l'onglet Console Google Cloud → Dataproc → Détails du cluster Instances de VM. Pour en savoir plus sur les rôles Compute Engine, consultez la section Compute Engine → Rôles IAM disponibles.
Pour créer un cluster avec un compte de service spécifié par l'utilisateur, le compte en question doit disposer de toutes les autorisations accordées par le rôle Dataproc Worker. Veuillez indiquer tous les rôles supplémentaires nécessaires aux fonctionnalités de configuration. Pour plus d'informations, consultez la page Comptes de service.

Rôles au niveau du projet

Il est possible d'obtenir des autorisations au niveau du projet en utilisant les rôles IAM Projet. Le tableau suivant répertorie les autorisations associées aux rôles de projet IAM:

Rôle de projet	Autorisations
Lecteur de projets	Toutes les autorisations de projet pour les actions en lecture seule préservant l'état (get, list)
Éditeur de projet	Toutes les autorisations lecteur de projet, ainsi que toutes les autorisations de projet pour les actions qui modifient l'état (créer, supprimer, mettre à jour, utiliser, annuler, arrêter, démarrer)
Propriétaire du projet	Toutes les autorisations de l'éditeur de projet, ainsi que celles permettant de gérer le contrôle d'accès au projet (get / set IamPolicy) et de configurer la facturation du projet

Récapitulatif des rôles IAM et des opérations Dataproc

Le tableau suivant répertorie les opérations Dataproc associées aux rôles de projet et Dataproc.

Opération	Éditeur de projet	Lecteur de projet	Administrateur Dataproc	Éditeur Dataproc	Lecteur Dataproc
Obtenir/Définir des autorisations IAM Dataproc	Non	Non	Oui	Non	Non
Créer un cluster	Oui	Non	Oui	Oui	Non
Répertorier les clusters	Oui	Oui	Oui	Oui	Oui
Obtenir les détails du cluster	Oui	Oui	Oui ^{1, 2}	Oui ^{1, 2}	Oui ^{1, 2}
Mettre à jour le cluster	Oui	Non	Oui	Oui	Non
Supprimer le cluster	Oui	Non	Oui	Oui	Non
Démarrer/Arrêter le cluster	Oui	Non	Oui	Oui	Non
Envoyer une tâche	Oui	Non	Oui ³	Oui ³	Non
Répertorier des tâches	Oui	Oui	Oui	Oui	Oui
Obtenir les détails de la tâche	Oui	Oui	Oui ⁴	Oui ⁴	Oui ⁴
Annuler la tâche	Oui	Non	Oui	Oui	Non
Supprimer la tâche	Oui	Non	Oui	Oui	Non
Répertorier les opérations	Oui	Oui	Oui	Oui	Oui
Obtenir les détails de l'opération	Oui	Oui	Oui	Oui	Oui
Supprimer une opération	Oui	Non	Oui	Oui	Non

Remarques :

Le graphique de performances n'est pas disponible, à moins que l'utilisateur ne possède également un rôle doté de l'autorisation monitoring.timeSeries.list.
La liste des VM du cluster n'inclut pas d'informations sur l'état ni de lien SSH pour l'instance maître, à moins que l'utilisateur ne dispose également d'un rôle doté de l'autorisation compute.instances.list.
Les tâches qui importent des fichiers nécessitent que l'utilisateur dispose du rôle Storage Object Creator ou d'un accès en écriture au bucket de préproduction Dataproc.
Les résultats des tâches ne sont disponibles que si l'utilisateur dispose également du rôle Observateur d'objets de stockage ou s'il dispose d'un accès en lecture au compartiment de transfert pour le projet.

Comptes de service

Lorsque vous appelez des API Dataproc pour effectuer des actions dans un projet, telles que la création d'instances de VM, Dataproc effectue ces actions en votre nom à l'aide d'un compte de service disposant des autorisations requises pour effectuer ces actions. Pour en savoir plus, consultez la page Comptes de service Dataproc.

Gestion de l'IAM

Vous pouvez obtenir et définir des stratégies IAM à l'aide de la console Google Cloud, de l'API IAM ou de Google Cloud CLI.

Pour la console Google Cloud, consultez Contrôle des accès à l'aide de la console Google Cloud.
Pour l'API, consultez Contrôle des accès à l'aide de l'API.
Pour la Google Cloud CLI, consultez la section Contrôle des accès à l'aide de la Google Cloud CLI.

Rôles et autorisations IAM de Dataproc

Présentation

Autorisations Dataproc

Autorisations de clusters

Autorisations des tâches

Autorisations d'opérations

Autorisations des modèles de workflow

Autorisations liées aux règles d'autoscaling

Autorisations des groupes de nœuds

Rôles Dataproc

Rôles au niveau du projet

Récapitulatif des rôles IAM et des opérations Dataproc

Comptes de service

Gestion de l'IAM

Étapes suivantes