Panoramica
Identity and Access Management (IAM) consente di controllare l'accesso di utenti e gruppi alle risorse di progetto. Questo documento è incentrato su Le autorizzazioni IAM pertinenti per Dataproc e i ruoli IAM che concedono queste autorizzazioni.
Autorizzazioni Dataproc
Le autorizzazioni Dataproc consentono agli utenti, tra cui
account di servizio,
eseguire azioni su Dataproc
cluster, job, operazioni e modelli di flusso di lavoro. Ad esempio, l'autorizzazione dataproc.clusters.create
consente a un utente di creare cluster Dataproc in un progetto.
In genere, non concedi autorizzazioni, concedi invece
roles, che includono una o più autorizzazioni.
Le tabelle seguenti elencano le autorizzazioni necessarie per chiamare le API (metodi) Dataproc. Le tabelle sono organizzate in base alle API associate ogni risorsa Dataproc (cluster, job, operazioni e modelli di flusso di lavoro).
Ambito delle autorizzazioni: l'ambito di Dataproc
elencate nella tabella che segue sono le autorizzazioni
di Google Cloud che contengono
progetto (ambito: cloud-platform
). Consulta
Autorizzazioni account di servizio.
Esempi:
dataproc.clusters.create
consente la creazione di Cluster Dataproc nel progetto contenitoredataproc.jobs.create
consente l'invio di Dataproc in cluster Dataproc nel progetto contenitoredataproc.clusters.list
consente la visualizzazione di dettagli di cluster Dataproc nel progetto contenitore
Autorizzazioni richieste per i metodi dei cluster
Metodo | Autorizzazioni obbligatorie |
---|---|
projects.regions.clusters.create 1, 2 | dataproc.clusters.create |
projects.regions.clusters.get | dataproc.clusters.get |
projects.regions.clusters.list | dataproc.clusters.list |
projects.regions.clusters.patch 1, 2, 3 | dataproc.clusters.update |
projects.regions.clusters.delete 1 | dataproc.clusters.delete |
projects.regions.clusters.start | dataproc.clusters.start |
projects.regions.clusters.stop | dataproc.clusters.stop |
projects.regions.clusters.getIamPolicy | dataproc.clusters.getIamPolicy |
projects.regions.clusters.setIamPolicy | dataproc.clusters.setIamPolicy |
Note:
- Per ottenere lo stato è necessaria anche l'autorizzazione
dataproc.operations.get
aggiornamenti da Google Cloud CLI. - Per ottenere il risultato è necessaria anche l'autorizzazione
dataproc.clusters.get
dell'operazione da Google Cloud CLI. - L'autorizzazione
dataproc.autoscalingPolicies.use
è necessaria anche per abilitare un criterio di scalabilità automatica su un cluster.
Autorizzazioni richieste per i metodi di job
Metodo | Autorizzazioni obbligatorie |
---|---|
projects.regions.jobs.submit 1, 2 | dataproc.jobs.create dataproc.clusters.use |
projects.regions.jobs.get | dataproc.jobs.get |
projects.regions.jobs.list | dataproc.jobs.list |
projects.regions.jobs.cancel 1 | dataproc.jobs.cancel |
projects.regions.jobs.patch 1 | dataproc.jobs.update |
projects.regions.jobs.delete 1 | dataproc.jobs.delete |
projects.regions.jobs.getIamPolicy | dataproc.jobs.getIamPolicy |
projects.regions.jobs.setIamPolicy | dataproc.jobs.setIamPolicy |
Note:
Google Cloud CLI richiede anche
dataproc.jobs.get
autorizzazione perjobs submit
,jobs wait
,jobs update
,jobs delete
, ejobs kill
.Anche la CLI gcloud richiede l'autorizzazione
dataproc.clusters.get
per inviare i job. Per un esempio di configurazione le autorizzazioni necessarie a un utente per eseguiregcloud dataproc jobs submit
su utilizzando IAM granulare Dataproc (vedi Invio di job con IAM granulare).
Autorizzazioni richieste per i metodi operativi
Metodo | Autorizzazioni obbligatorie |
---|---|
projects.regions.operations.get | dataproc.operations.get |
projects.regions.operations.list | dataproc.operations.list |
projects.regions.operations.cancel | dataproc.operations.cancel |
projects.regions.operations.delete | dataproc.operations.delete |
projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
Autorizzazioni richieste per i metodi dei modelli di flusso di lavoro
Metodo | Autorizzazioni obbligatorie |
---|---|
projects.regions.workflowTemplates.instantiate | dataproc.workflowTemplates.instantiate |
projects.regions.workflowTemplates.instantiateInline | dataproc.workflowTemplates.instantiateInline |
projects.regions.workflowTemplates.create | dataproc.workflowTemplates.create |
projects.regions.workflowTemplates.get | dataproc.workflowTemplates.get |
projects.regions.workflowTemplates.list | dataproc.workflowTemplates.list |
projects.regions.workflowTemplates.update | dataproc.workflowTemplates.update |
projects.regions.workflowTemplates.delete | dataproc.workflowTemplates.delete |
projects.regions.workflowTemplates.getIamPolicy | dataproc.workflowTemplates.getIamPolicy |
projects.regions.workflowTemplates.setIamPolicy | dataproc.workflowTemplates.setIamPolicy |
Note:
Le autorizzazioni dei modelli di flusso di lavoro sono indipendenti dalle autorizzazioni per cluster e job. Un utente senza le autorizzazioni
create cluster
osubmit job
può creare e creare un'istanza per un modello di flusso di lavoro.Google Cloud CLI richiede inoltre Autorizzazione
dataproc.operations.get
a eseguire il polling per il completamento del flusso di lavoro.Per annullare un'esecuzione è necessaria l'autorizzazione
dataproc.operations.cancel
un flusso di lavoro di machine learning.
Autorizzazioni richieste per i metodi dei criteri di scalabilità automatica
Metodo | Autorizzazioni obbligatorie |
---|---|
projects.regions.autoscalingPolicies.create | dataproc.autoscalingPolicies.create |
projects.regions.autoscalingPolicies.get | dataproc.autoscalingPolicies.get |
projects.regions.autoscalingPolicies.list | dataproc.autoscalingPolicies.list |
projects.regions.autoscalingPolicies.update | dataproc.autoscalingPolicies.update |
projects.regions.autoscalingPolicies.delete | dataproc.autoscalingPolicies.delete |
projects.regions.autoscalingPolicies.getIamPolicy | dataproc.autoscalingPolicies.getIamPolicy |
projects.regions.autoscalingPolicies.setIamPolicy | dataproc.autoscalingPolicies.setIamPolicy |
Note:
- È necessaria l'autorizzazione
dataproc.autoscalingPolicies.use
per abilita un criterio di scalabilità automatica su un cluster con un metodoclusters.patch
richiesta.
Autorizzazioni richieste dai metodi dei gruppi di nodi
Metodo | Autorizzazioni obbligatorie |
---|---|
projects.regions.nodeGroups.create | dataproc.nodeGroups.create |
projects.regions.nodeGroups.get | dataproc.nodeGroups.get |
projects.regions.nodeGroups.resize | dataproc.nodeGroups.update |
Ruoli Dataproc
Ruoli IAM di Dataproc
sono un bundle di una o più autorizzazioni.
Puoi assegnare ruoli a utenti o gruppi per consentire loro di eseguire azioni nella
di risorse Dataproc in un progetto. Ad esempio:
Il ruolo Visualizzatore Dataproc contiene
Autorizzazioni get
e list
, che consentono a un utente di recuperare ed elencare
Cluster, job e operazioni Dataproc in un progetto.
La tabella riportata di seguito elenca i ruoli IAM di Dataproc e le autorizzazioni associate a ciascun ruolo.
Ruoli Dataproc |
Autorizzazioni |
Dataproc Administrator( Controllo completo delle risorse Dataproc. |
|
Dataproc Editor( Fornisce le autorizzazioni necessarie per visualizzare le risorse richieste per gestire Dataproc, inclusi tipi di macchine, reti, progetti e zone. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Dataproc Hub Agent( Consente di gestire le risorse Dataproc. Destinato agli account di servizio che eseguono istanze Dataproc Hub. |
|
Dataproc Viewer( Fornisce l'accesso di sola lettura alle risorse di Dataproc. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Dataproc Worker( Fornisce l'accesso worker alle risorse Dataproc. Destinato agli account di servizio. |
|
Note:
- Le autorizzazioni
compute
sono necessarie o consigliate per creare e visualizzare i cluster Dataproc quando utilizzi la console Google Cloud o Google Cloud CLI. - Per consentire a un utente di caricare file, concedi il ruolo
Storage Object Creator
. Per consentire a un utente di visualizzare l'output del job, concedi il ruoloStorage Object Viewer
. - Un utente deve avere l'autorizzazione
monitoring.timeSeries.list
per poter visualizza i grafici nella console Google Cloud→Dataproc→Dettagli del cluster Panoramica. - Un utente deve avere l'autorizzazione
compute.instances.list
per visualizzare lo stato dell'istanza e il menu SSH dell'istanza master nella Console Google Cloud→Dataproc→Dettagli cluster Istanze VM. Per informazioni sui ruoli di Compute Engine, consulta Compute Engine→Ruoli IAM disponibili). - Per creare un cluster con un account di servizio specificato dall'utente,
l'account di servizio deve disporre di tutte le autorizzazioni concesse
Dataproc Worker
che includono l'accesso bucket gestione temporanea e gestione temporanea. A seconda delle funzionalità configurate, potrebbero essere necessari ruoli aggiuntivi. Consulta Creare un cluster con un account di servizio VM personalizzato per ulteriori informazioni.
Ruoli di progetto
Puoi anche impostare le autorizzazioni a livello di progetto utilizzando il ruolo IAM Ruoli di progetto. La tabella seguente elenca le autorizzazioni associate a Ruoli del progetto IAM:
Ruolo progetto | Autorizzazioni |
---|---|
Visualizzatore progetto | Tutte le autorizzazioni di progetto per le azioni di sola lettura che conservano lo stato (get, list) |
Editor progetto | Tutte le autorizzazioni di Visualizzatore progetto più tutte le autorizzazioni di progetto per le azioni che modificano lo stato (creazione, eliminazione, aggiornamento, utilizzo, annullamento, interruzione, avvio) |
Proprietario progetto | Tutte le autorizzazioni di Editor del progetto, oltre alle autorizzazioni per gestire il controllo dell'accesso per il progetto (get/set IamPolicy) e per configurare la fatturazione del progetto |
Riepilogo dei ruoli IAM e delle operazioni Dataproc
Nella tabella seguente sono elencate le operazioni di Dataproc associate a: nei ruoli di progetto e Dataproc.
Operazione | Editor progetto | Visualizzatore progetto | Amministratore Dataproc | Dataproc Editor | Dataproc Viewer |
---|---|---|---|---|---|
Ottieni/imposta autorizzazioni IAM Dataproc | No | No | Sì | No | No |
Crea cluster | Sì | No | Sì | Sì | No |
Elenca cluster | Sì | Sì | Sì | Sì | Sì |
Recupero dei dettagli del cluster | Sì | Sì | Sì 1, 2 | Sì 1, 2 | Sì 1, 2 |
Aggiorna cluster | Sì | No | Sì | Sì | No |
Elimina cluster | Sì | No | Sì | Sì | No |
Avvia/Arresta cluster | Sì | No | Sì | Sì | No |
Invia il job | Sì | No | Sì3 | Sì3 | No |
Elenca job | Sì | Sì | Sì | Sì | Sì |
Ottieni dettagli job | Sì | Sì | Sì4 | Sì4 | Sì4 |
Annulla job | Sì | No | Sì | Sì | No |
Elimina job | Sì | No | Sì | Sì | No |
Elenca operazioni | Sì | Sì | Sì | Sì | Sì |
Ottieni dettagli operazione | Sì | Sì | Sì | Sì | Sì |
Elimina operazione | Sì | No | Sì | Sì | No |
Note:
- Il grafico del rendimento non è disponibile, a meno che l'utente non abbia anche un
ruolo con l'autorizzazione
monitoring.timeSeries.list
. - L'elenco delle VM nel cluster non includerà informazioni sullo stato
oppure un link SSH per l'istanza master, a meno che l'utente non abbia anche un ruolo
l'autorizzazione
compute.instances.list
. - I job che caricano file richiedono che l'utente disponga di
Storage Object Creator
o l'accesso in scrittura al ruolo Dataproc bucket gestione temporanea. - L'output del job non è disponibile a meno che l'utente non disponga anche dell'oggetto Storage Ruolo Visualizzatore o dispone dell'accesso in lettura al bucket gestione temporanea per del progetto.
Account di servizio
Quando chiami le API Dataproc per eseguire azioni in un progetto, come la creazione di istanze VM, Dataproc esegue le azioni utilizzando un account di servizio che dispone delle autorizzazioni necessarie eseguire le azioni. Per ulteriori informazioni, vedi Account di servizio Dataproc.
Gestione IAM
Puoi recuperare e impostare i criteri IAM utilizzando la console Google Cloud, l'API IAM o Google Cloud CLI.
- Per la console Google Cloud, consulta Controllo dell'accesso tramite la console Google Cloud.
- Per l'API, vedi Controllo dell'accesso utilizzando l'API.
- Per Google Cloud CLI, vedi Controllo dell'accesso utilizzando Google Cloud CLI.
Passaggi successivi
- Scopri di più su entità e ruoli di Dataproc
- Scopri di più su IAM granulare di Dataproc
- Scopri di più su IAM.
- Scopri di più sugli account di servizio in Dataproc