Nesta página, descrevemos como conceder a uma conta de usuário ou de serviço acesso aos recursos básicos do metastore do Dataproc em um projeto. Google Cloud As funções descritas nesta página dão acesso à criação de um serviço do metastore do Dataproc.
Dependendo do escopo de controle que você quer que a conta tenha, conceda a ela um destes papéis predefinidos do IAM:
roles/metastore.editorpara conceder controle total dos recursos do metastore do Dataprocroles/metastore.adminpara conceder controle total dos recursos do metastore do Dataproc, incluindo a atualização das permissões do IAM.
Para informações detalhadas sobre as permissões específicas do IAM que esses papéis oferecem, consulte Papéis do IAM do Dataproc Metastore.
Antes de começar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Dataproc Metastore API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Dataproc Metastore API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. resourcemanager.projects.getresourcemanager.projects.getIamPolicyresourcemanager.projects.setIamPolicyPROJECT_ID: o ID do projeto em que você quer ativar o acesso ao Metastore.PRINCIPAL: o tipo e o ID de e-mail (endereço de e-mail) do principal.- Para contas de usuário: user:EMAIL_ID
- Para contas de serviço: serviceAccount:EMAIL_ID
- Para os Grupos do Google: group:EMAIL_ID
METASTORE_ROLE: um dos seguintes valores, dependendo do papel que você quer conceder ao principal:roles/metastore.editorouroles/metastore.admin. Para detalhes sobre as permissões concedidas por esses papéis, consulte Papéis do IAM do Dataproc Metastore.
Papéis necessários
Você precisa ter o papel básico do IAM roles/owner (Proprietário) no
projetoGoogle Cloud que está usando ou um papel que conceda estas permissões:
Para receber essas permissões seguindo o princípio de privilégio mínimo,
peça ao administrador para conceder a você o papel de roles/resourcemanager.projectIamAdmin (administrador do IAM do projeto).
Como conceder papéis de acesso
gcloud
Para usar a CLI gcloud, você pode instalar e inicializar a Google Cloud CLI ou usar o Cloud Shell.
Execute o comando add-iam-policy-binding a seguir para conceder um papel predefinido do metastore do Dataproc a um principal do IAM
(conta de usuário ou conta de serviço).
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=PRINCIPAL \
--role=METASTORE_ROLESubstitua: