Conceder papéis básicos do IAM do metastore do Dataproc aos usuários

Nesta página, descrevemos como conceder a uma conta de usuário ou de serviço acesso aos recursos básicos do metastore do Dataproc em um projeto. Google Cloud As funções descritas nesta página fornecem acesso para criar um serviço do metastore do Dataproc.

Dependendo do escopo de controle que você quer que a conta tenha, conceda a ela um destes papéis predefinidos do IAM:

  • roles/metastore.editor para conceder controle total dos recursos do metastore do Dataproc
  • roles/metastore.admin para conceder controle total dos recursos do metastore do Dataproc, incluindo a atualização das permissões do IAM.

Para informações detalhadas sobre as permissões específicas do IAM que esses papéis oferecem, consulte Papéis do IAM do Dataproc Metastore.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Dataproc Metastore API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Dataproc Metastore API.

    Enable the API

    8.

    Papéis necessários

    Você precisa ter o papel básico do IAM roles/owner (Proprietário) no projetoGoogle Cloud que está usando ou um papel que conceda estas permissões:

    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Para receber essas permissões seguindo o princípio de privilégio mínimo, peça ao administrador para conceder a você o papel de roles/resourcemanager.projectIamAdmin (administrador do IAM do projeto).

    Como conceder papéis de acesso

    gcloud

    Para usar a CLI gcloud, instale e inicialize a Google Cloud CLI ou use o Cloud Shell.

    Execute o comando add-iam-policy-binding a seguir para conceder um papel predefinido do metastore do Dataproc a um principal do IAM (conta de usuário ou conta de serviço).

      gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

    Substitua:

    • PROJECT_ID: o ID do projeto em que você quer ativar o acesso ao Metastore.
    • PRINCIPAL: o tipo e o ID de e-mail (endereço de e-mail) do principal.
      • Para contas de usuário: user:EMAIL_ID
      • Para contas de serviço: serviceAccount:EMAIL_ID
      • Para os Grupos do Google: group:EMAIL_ID
    • METASTORE_ROLE: um dos seguintes valores, dependendo do papel que você quer conceder ao principal: roles/metastore.editor ou roles/metastore.admin. Para detalhes sobre as permissões concedidas por esses papéis, consulte Papéis do IAM do Dataproc Metastore.