Attribuer des rôles IAM Dataproc Metastore de base aux utilisateurs

Cette page explique comment accorder à un compte utilisateur ou à un compte de service l'accès aux ressources Dataproc Metastore de base d'un projet. Google Cloud Les rôles décrits sur cette page permettent de créer un service Dataproc Metastore.

En fonction du niveau de contrôle que vous souhaitez accorder au compte, attribuez-lui l'un des rôles IAM prédéfinis suivants :

  • roles/metastore.editor pour accorder le contrôle complet des ressources Dataproc Metastore
  • roles/metastore.admin pour accorder un contrôle complet des ressources Dataproc Metastore, y compris la mise à jour des autorisations IAM.

Pour en savoir plus sur les autorisations IAM spécifiques fournies par ces rôles, consultez Rôles IAM Dataproc Metastore.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Dataproc Metastore API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Dataproc Metastore API.

    Enable the API

    8.

    Rôles requis

    Vous devez disposer du rôle IAM de base roles/owner (Propriétaire) dans le projetGoogle Cloud que vous utilisez, ou d'un rôle qui vous accorde les autorisations suivantes :

    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Pour obtenir ces autorisations tout en respectant le principe du moindre privilège, demandez à votre administrateur de vous attribuer le rôle roles/resourcemanager.projectIamAdmin (administrateur IAM du projet).

    Accorder des rôles d'accès

    gcloud

    Pour utiliser gcloud CLI, vous pouvez installer et initialiser Google Cloud CLI, ou utiliser Cloud Shell.

    Exécutez la commande add-iam-policy-binding suivante pour attribuer un rôle prédéfini Dataproc Metastore à un principal IAM (compte utilisateur ou compte de service).

      gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

    Remplacez les éléments suivants :

    • PROJECT_ID : ID du projet pour lequel vous souhaitez activer l'accès à Metastore.
    • PRINCIPAL : type et adresse e-mail du compte principal.
      • Pour les comptes utilisateur : user:EMAIL_ID
      • Pour les comptes de service : serviceAccount:EMAIL_ID
      • Pour les groupes Google : group:EMAIL_ID
    • METASTORE_ROLE : l'une des valeurs suivantes, selon le rôle que vous souhaitez attribuer au compte principal : roles/metastore.editor ou roles/metastore.admin. Pour en savoir plus sur les autorisations accordées par ces rôles, consultez Rôles IAM Dataproc Metastore.