Conceder roles básicos de gestión de identidades y accesos de Dataproc Metastore a los usuarios

En esta página se describe cómo conceder acceso a una Google Cloud cuenta de usuario o de servicio Google Cloud a los recursos básicos de Dataproc Metastore de un proyecto. Los roles que se describen en esta página proporcionan acceso para crear un servicio Dataproc Metastore.

En función del nivel de control que quieras que tenga la cuenta, puedes concederle uno de estos roles de gestión de identidades y accesos predefinidos:

  • roles/metastore.editor para conceder control total sobre los recursos de Dataproc Metastore
  • roles/metastore.admin para conceder control total sobre los recursos de Dataproc Metastore, incluida la actualización de los permisos de gestión de identidades y accesos.

Para obtener información detallada sobre los permisos de gestión de identidades y accesos específicos que proporcionan estos roles, consulta Roles de gestión de identidades y accesos de Dataproc Metastore.

Antes de empezar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Dataproc Metastore API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Dataproc Metastore API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

    Roles obligatorios

    Debes tener el rol básico de gestión de identidades y accesos roles/ownerPropietarioGoogle Cloud en el proyecto que estés usando o un rol que te conceda estos permisos:

    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Para obtener estos permisos y seguir el principio de mínimos accesos, pide a tu administrador que te conceda el rol roles/resourcemanager.projectIamAdmin (Administrador de gestión de identidades y accesos del proyecto).

    Cómo asignar roles de acceso

    gcloud

    Para usar la CLI de gcloud, puedes instalar e inicializar Google Cloud CLI o usar Cloud Shell.

    Ejecuta el siguiente comando add-iam-policy-binding para asignar un rol predefinido de Dataproc Metastore a un principal de IAM (una cuenta de usuario o una cuenta de servicio).

      gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

    Haz los cambios siguientes:

    • PROJECT_ID: el ID del proyecto al que quieres habilitar el acceso a Metastore.
    • PRINCIPAL: el tipo y el ID de correo (dirección de correo electrónico) de la entidad de seguridad.
      • Para las cuentas de usuario: user:EMAIL_ID
      • En el caso de las cuentas de servicio, se usa serviceAccount:EMAIL_ID.
      • En Grupos de Google: group:EMAIL_ID
    • METASTORE_ROLE: uno de los siguientes valores, en función del rol que quieras asignar al principal: roles/metastore.editor o roles/metastore.admin. Para obtener información sobre los permisos que conceden estos roles, consulta Roles de gestión de identidades y accesos de Dataproc Metastore.