Autorizzazioni Dataproc e ruoli IAM

Panoramica

Identity and Access Management (IAM) consente di controllare l'accesso degli utenti e dei gruppi alle risorse del progetto. Questo documento è incentrato sulle autorizzazioni IAM pertinenti a Dataproc e sui ruoli IAM che concedono tali autorizzazioni.

Autorizzazioni Dataproc

Le autorizzazioni Dataproc consentono agli utenti, inclusi gli account di servizio, di eseguire azioni su cluster, job, operazioni e modelli di flusso di lavoro Dataproc. Ad esempio, l'autorizzazione dataproc.clusters.create consente a un utente di creare cluster Dataproc in un progetto. In genere, non concedi le autorizzazioni, ma devi concedere i ruoli, che includono una o più autorizzazioni.

Le seguenti tabelle elencano le autorizzazioni necessarie per chiamare le API Dataproc (metodi). Le tabelle sono organizzate in base alle API associate a ogni risorsa Dataproc (cluster, job, operazioni e modelli di flusso di lavoro).

Autorizzazioni cluster

Metodo Autorizzazioni richieste
projects.regions.clusters.create1, 2 dataproc.clusters.create
projects.regions.clusters.get dataproc.clusters.get
projects.regions.clusters.list dataproc.clusters.list
projects.regions.clusters.patch 1, 2, 3 dataproc.clusters.update
projects.regions.clusters.delete1 dataproc.clusters.delete
projects.regions.clusters.start dataproc.clusters.start
projects.regions.clusters.stop dataproc.clusters.stop
projects.regions.clusters.getIamPolicy dataproc.clusters.getIamPolicy
projects.regions.clusters.setIamPolicy dataproc.clusters.setIamPolicy

Note:

  1. Per ottenere gli aggiornamenti sullo stato dall'interfaccia a riga di comando di Google Cloud, è necessaria anche l'autorizzazione dataproc.operations.get.
  2. Per ottenere il risultato dell'operazione dall'interfaccia a riga di comando di Google Cloud, è necessaria anche l'autorizzazione dataproc.clusters.get.
  3. Per abilitare un criterio di scalabilità automatica su un cluster è necessaria anche l'autorizzazione dataproc.autoscalingPolicies.use.

Autorizzazioni job

Metodo Autorizzazioni richieste
projects.regions.jobs.submit 1, 2 dataproc.jobs.create
dataproc.clusters.use
projects.regions.jobs.get dataproc.jobs.get
projects.regions.jobs.list dataproc.jobs.list
projects.regions.jobs.cancel 1 dataproc.jobs.cancel
projects.regions.jobs.patch1 dataproc.jobs.update
projects.regions.jobs.delete1 dataproc.jobs.delete
projects.regions.jobs.getIamPolicy dataproc.jobs.getIamPolicy
projects.regions.jobs.setIamPolicy dataproc.jobs.setIamPolicy

Note:

  1. L'interfaccia a riga di comando di Google Cloud richiede inoltre l'autorizzazione dataproc.jobs.get per i comandi jobs submit, jobs wait, jobs update, jobs delete e jobs kill.

  2. L'interfaccia a riga di comando gcloud richiede anche l'autorizzazione dataproc.clusters.get per inviare job. Per un esempio di impostazione delle autorizzazioni necessarie a un utente per eseguire gcloud dataproc jobs submit su un cluster utilizzando IAM granulare di Dataproc, consulta la sezione Invio di job con IAM granulare.

Autorizzazioni operative

Metodo Autorizzazioni richieste
projects.regions.operations.get dataproc.operations.get
projects.regions.operations.list dataproc.operations.list
projects.regions.operations.cancel dataproc.operations.cancel
projects.regions.operations.delete dataproc.operations.delete
projects.regions.operations.getIamPolicy dataproc.operations.getIamPolicy
projects.regions.operations.setIamPolicy dataproc.operations.setIamPolicy

Autorizzazioni relative ai modelli di flusso di lavoro

Metodo Autorizzazioni richieste
projects.regions.workflowTemplates.ins passare dataproc.workflowTemplates.insogniate
projects.regions.workflowTemplates.insstatiateInline dataproc.workflowTemplates.insstatiateInline
projects.regions.workflowTemplates.create dataproc.workflowTemplates.create
projects.regions.workflowTemplates.get dataproc.workflowTemplates.get
projects.regions.workflowTemplates.list dataproc.workflowTemplates.list
projects.regions.workflowTemplates.update dataproc.workflowTemplates.update
projects.regions.workflowTemplates.delete dataproc.workflowTemplates.delete
projects.regions.workflowTemplates.getIamPolicy dataproc.workflowTemplates.getIamPolicy
projects.regions.workflowTemplates.setIamPolicy dataproc.workflowTemplates.setIamPolicy

Note:

  1. Le autorizzazioni del modello di flusso di lavoro sono indipendenti dalle autorizzazioni relative a cluster e job. Un utente senza autorizzazioni create cluster o submit job può creare e determinare un modello di flusso di lavoro.

  2. L'interfaccia a riga di comando di Google Cloud richiede inoltre l'autorizzazione dataproc.operations.get per eseguire il polling per il completamento del flusso di lavoro.

  3. Per annullare un flusso di lavoro in esecuzione è necessaria l'autorizzazione dataproc.operations.cancel.

Autorizzazioni dei criteri di scalabilità automatica

Metodo Autorizzazioni richieste
projects.regions.autoscalingPolicies.create dataproc.autoscalingPolicies.create
projects.regions.autoscalingPolicies.get dataproc.autoscalingPolicies.get
projects.regions.autoscalingPolicies.list dataproc.autoscalingPolicies.list
projects.regions.autoscalingPolicies.update dataproc.autoscalingPolicies.update
projects.regions.autoscalingPolicies.delete dataproc.autoscalingPolicies.delete
projects.regions.autoscalingPolicies.getIamPolicy dataproc.autoscalingPolicies.getIamPolicy
projects.regions.autoscalingPolicies.setIamPolicy dataproc.autoscalingPolicies.setIamPolicy

Note:

  1. Per abilitare un criterio di scalabilità automatica su un cluster con una richiesta di metodo clusters.patch, è necessaria l'autorizzazione dataproc.autoscalingPolicies.use.

Ruoli Dataproc

I ruoli IAM Dataproc sono un pacchetto di una o più autorizzazioni. Puoi concedere ruoli a utenti o gruppi per consentire loro di eseguire azioni sulle risorse Dataproc in un progetto. Ad esempio, il ruolo Visualizzatore Dataproc contiene le autorizzazioni dataproc.*.get e dataproc.*.list, che consentono a un utente di ottenere ed elencare cluster, job e operazioni di Dataproc in un progetto.

La tabella seguente elenca i ruoli IAM di Dataproc e le autorizzazioni associate a ogni ruolo:

ID ruolo Autorizzazioni
ruoli/dataproc.admin dataproc.*.getIamPolicy
dataproc.*.setIamPolicy
dataproc.*.create
dataproc.*.get
dataproc.*.list
dataproc.*.delete
dataproc.*.update
dataproc.cluster.rapporti.
.
...
role/dataproc.editor dati.proc.*
role/dataproc.viewer dataproc.*.get
dataproc.*.list
compute.machineTypes.get
compute.regions.get
compute.regions.list
compute.zones.get
resourcemanager.projects.get
resourcemanager.projects.list
role/dataproc.worker (solo per account di servizio) dataproc.agents.*
dataproc.tasks.*
logging.logEntries.create
monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResource.script.object
.storage.object..

Note:

  • "*" significa "cluster," "jobs" o "quot;operazioni"" eccetto le uniche autorizzazioni associate a dataproc.operations. sono get, list e delete.
  • Le autorizzazioni compute elencate in precedenza sono necessarie o consigliate per creare e visualizzare i cluster Dataproc quando utilizzi Google Cloud Console o l'interfaccia a riga di comando di Google Cloud gcloud.
  • Per consentire a un utente di caricare file, concedi il ruolo Storage Object Creator. Per consentire a un utente di visualizzare l'output del job, concedi il ruolo Storage Object Viewer. La concessione di uno di questi ruoli Cloud Storage offre all'utente la possibilità di accedere a qualsiasi bucket nel progetto.
  • Un utente deve disporre dell'autorizzazione monitoring.timeSeries.list per visualizzare i grafici nella scheda Google Cloud Console→Dataproc→Dettagli cluster.
  • Un utente deve disporre dell'autorizzazione compute.instances.list per visualizzare lo stato dell'istanza e il menu SSH dell'istanza master nella scheda Google Cloud Console→Dataproc→Dettagli cluster. Per informazioni sui ruoli di Compute Engine, consulta Compute Engine → Ruoli IAM disponibili.
  • Per creare un cluster con un account di servizio specificato dall'utente, l'account di servizio specificato deve disporre di tutte le autorizzazioni concesse dal ruolo Dataproc Worker. A seconda delle funzionalità configurate, potrebbero essere necessari ruoli aggiuntivi. Per ulteriori informazioni, consulta la sezione Account di servizio.

Ruoli progetto

Puoi anche impostare le autorizzazioni a livello di progetto utilizzando i ruoli IAM Progetto. La tabella riportata di seguito elenca le autorizzazioni associate ai ruoli del progetto IAM:

Ruolo progetto Autorizzazioni
Visualizzatore progetto Tutte le autorizzazioni del progetto per le azioni di sola lettura che mantengono lo stato (get, list)
Editor progetto Tutte le autorizzazioni Visualizzatore progetto più tutte le autorizzazioni progetto per azioni che modificano lo stato (creazione, eliminazione, aggiornamento, utilizzo, annullamento, interruzione, avvio)
Proprietario progetto Tutte le autorizzazioni dell'Editor di progetto e le autorizzazioni per gestire il controllo dell'accesso al progetto (get/set IamPolicy) e per configurare la fatturazione

Ruoli IAM e riepilogo operazioni Dataproc

La tabella seguente elenca le operazioni di Dataproc associate ai ruoli di progetto e Dataproc.

Operazione Editor progetto Visualizzatore progetto Amministratore Dataproc Editor Dataproc Visualizzatore Dataproc
Recupero/Impostazione delle autorizzazioni IAM di Dataproc No No No No
Crea cluster No No
Elenco dei cluster
Recupero dei dettagli del cluster Sì, 1, 2 Sì, 1, 2 Sì, 1, 2
Aggiornamento cluster No No
Elimina cluster No No
Avviare/interrompere il cluster No No
Invio di un job No 3 3 No
Elenca job
Visualizza i dettagli del job Sì, 4 Sì, 4 Sì, 4
Annulla job No No
Elimina job No No
Elenca operazioni
Recupera dettagli operazione
Eliminazione operazione No No

Note:

  1. Il grafico del rendimento è disponibile solo se l'utente ha anche un ruolo con l'autorizzazione monitoring.timeSeries.list.
  2. L'elenco delle VM nel cluster non includerà informazioni sullo stato o un link SSH per l'istanza master, a meno che l'utente non abbia anche un ruolo con autorizzazione compute.instances.list.
  3. I job che caricano file richiedono all'utente di disporre del ruolo Storage Object Creator o dell'accesso in scrittura al bucket di gestione temporanea di Dataproc.
  4. L'output del job non è disponibile a meno che l'utente non abbia anche il ruolo Visualizzatore oggetti Storage o non abbia ricevuto l'accesso in lettura al bucket temporaneo per il progetto.

Account di servizio

Quando chiami le API Dataproc per eseguire azioni in un progetto, ad esempio per creare istanze VM, Dataproc esegue le azioni per tuo conto utilizzando un account di servizio con le autorizzazioni necessarie per eseguire le azioni. Per ulteriori informazioni, consulta la pagina Account di servizio Dataproc.

Gestione IAM

Puoi ottenere e impostare i criteri IAM utilizzando Google Cloud Console, l'API IAM o l'interfaccia a riga di comando di Google Cloud.

Passaggi successivi