Attribuer des rôles IAM Dataproc Metastore de base aux utilisateurs

Cette page explique comment accorder à un compte utilisateur ou à un compte de service Google Cloud l'accès aux ressources Dataproc Metastore de base d'un projet. Les rôles décrits sur cette page permettent de créer un service Dataproc Metastore.

Selon le niveau de contrôle que vous souhaitez accorder au compte, attribuez-lui l'un des rôles IAM prédéfinis suivants:

  • roles/metastore.editor pour accorder un contrôle complet sur les ressources Dataproc Metastore
  • roles/metastore.admin pour accorder un contrôle complet sur les ressources Dataproc Metastore, y compris la mise à jour des autorisations IAM.

Pour en savoir plus sur les autorisations IAM spécifiques de ces rôles, consultez la page Rôles IAM Dataproc Metastore.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Dataproc Metastore API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Dataproc Metastore API.

    Enable the API

Rôles requis

Vous devez disposer du rôle IAM de base roles/owner (Propriétaire) dans le projet Google Cloud que vous utilisez, ou d'un rôle qui accorde les autorisations suivantes:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Pour obtenir ces autorisations tout en respectant le principe du moindre privilège, demandez à votre administrateur de vous accorder le rôle roles/resourcemanager.projectIamAdmin (administrateur IAM du projet).

Accorder des rôles d'accès

gcloud

Pour utiliser gcloud CLI, vous pouvez installer et initialiser Google Cloud CLI ou utiliser Cloud Shell.

Exécutez la commande add-iam-policy-binding suivante pour accorder un rôle prédéfini Dataproc Metastore à un principal IAM (compte utilisateur ou compte de service).

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet auquel vous souhaitez activer l'accès à Metastore.
  • PRINCIPAL: type et ID de messagerie (adresse e-mail) du principal.
    • Pour les comptes utilisateur: user:EMAIL_ID
    • Pour les comptes de service: serviceAccount:EMAIL_ID
    • Pour Google Groupes: group:EMAIL_ID
  • METASTORE_ROLE: l'une des valeurs suivantes, en fonction du rôle que vous souhaitez accorder au compte principal: roles/metastore.editor ou roles/metastore.admin. Pour en savoir plus sur les autorisations accordées par ces rôles, consultez la page Rôles IAM Dataproc Metastore.