Conceder papéis básicos do IAM no metastore do Dataproc aos usuários

Esta página descreve como conceder a uma conta de usuário ou de serviço do Google Cloud acesso a recursos básicos do metastore do Dataproc em um projeto. Os papéis descritos nesta página fornecem acesso para criar um serviço Metastore do Dataproc.

Dependendo do escopo de controle que você quer que a conta tenha, conceda a ela um destes papéis predefinidos do IAM:

  • roles/metastore.editor para conceder controle total dos recursos do metastore do Dataproc
  • roles/metastore.admin para conceder controle total dos recursos do metastore do Dataproc, incluindo a atualização das permissões do IAM.

Para informações detalhadas sobre as permissões de IAM específicas desses papéis, consulte Papéis de IAM do metastore do Dataproc.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  4. Enable the Dataproc Metastore API.

    Enable the API

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  7. Enable the Dataproc Metastore API.

    Enable the API

    8.

Papéis necessários

Você precisa ter o papel básico roles/owner (Proprietário) do IAM na O projeto do Google Cloud que você está usando ou um papel que concede estas permissões:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Para receber essas permissões seguindo o princípio do menor privilégio, peça ao administrador para conceder a você o papel de roles/resourcemanager.projectIamAdmin (administrador do IAM do projeto).

Como conceder papéis de acesso

gcloud

Para usar a CLI gcloud, instale e inicialize a Google Cloud CLI ou use o Cloud Shell.

Execute o comando add-iam-policy-binding a seguir para conceder um papel predefinido do metastore do Dataproc a um principal do IAM (conta de usuário ou de serviço).

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

Substitua:

  • PROJECT_ID: o ID do projeto para o qual você quer permitir o acesso do Metastore.
  • PRINCIPAL: o tipo e o ID de e-mail (endereço de e-mail) do principal.
    • Para contas de usuário: user:EMAIL_ID
    • Para contas de serviço: serviceAccount:EMAIL_ID
    • Para Grupos do Google: group:EMAIL_ID
  • METASTORE_ROLE: um dos valores a seguir, dependendo do papel que você quer conceder ao principal: roles/metastore.editor ou roles/metastore.admin. Para saber mais sobre as permissões concedidas por esses papéis, consulte Papéis do IAM do Dataproc Metastore.