Nutzern grundlegende IAM-Rollen für Dataproc Metastore zuweisen

Auf dieser Seite wird beschrieben, wie Sie einem Google Cloud Nutzerkonto oder Dienstkonto Zugriff auf grundlegende Dataproc Metastore-Ressourcen in einem Projekt gewähren. Die auf dieser Seite beschriebenen Rollen bieten Zugriff zum Erstellen eines Dataproc Metastore-Dienstes.

Je nachdem, wie viel Kontrolle Sie dem Konto geben möchten, weisen Sie ihm eine der folgenden vordefinierten IAM-Rollen zu:

  • roles/metastore.editor, um die vollständige Kontrolle über Dataproc Metastore-Ressourcen zu gewähren
  • roles/metastore.admin, um die vollständige Kontrolle über Dataproc Metastore-Ressourcen zu gewähren, einschließlich der Aktualisierung von IAM-Berechtigungen.

Ausführliche Informationen zu den spezifischen IAM-Berechtigungen, die diese Rollen bieten, finden Sie unter Dataproc Metastore-IAM-Rollen.

Hinweise

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Dataproc Metastore API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Dataproc Metastore API.

    Enable the API

    8.

    Erforderliche Rollen

    Sie benötigen die einfache IAM-Rolle roles/owner (Inhaber) imGoogle Cloud -Projekt, das Sie verwenden, oder eine Rolle, die die folgenden Berechtigungen gewährt:

    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Um diese Berechtigungen zu erhalten und gleichzeitig das Prinzip der geringsten Berechtigung zu wahren, bitten Sie Ihren Administrator, Ihnen die Rolle roles/resourcemanager.projectIamAdmin (Project IAM Admin) zuzuweisen.

    Zugriffsrollen gewähren

    gcloud

    Wenn Sie die gcloud CLI verwenden möchten, können Sie die Google Cloud CLI installieren und initialisieren oder Cloud Shell verwenden.

    Führen Sie den folgenden add-iam-policy-binding-Befehl aus, um einem IAM-Principal (Nutzerkonto oder Dienstkonto) eine vordefinierte Dataproc Metastore-Rolle zuzuweisen.

      gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Die ID des Projekts, für das Sie den Metastore-Zugriff aktivieren möchten.
    • PRINCIPAL: Der Typ und die E-Mail-ID (E-Mail-Adresse) des Hauptkontos.
      • Für Nutzerkonten: user:EMAIL_ID
      • Für Dienstkonten: serviceAccount:EMAIL_ID
      • Für Google Groups: group:EMAIL_ID
    • METASTORE_ROLE: Einer der folgenden Werte, je nach Rolle, die Sie dem Hauptkonto zuweisen möchten: roles/metastore.editor oder roles/metastore.admin. Weitere Informationen zu den Berechtigungen, die diese Rollen gewähren, finden Sie unter IAM-Rollen für Dataproc Metastore.