本页介绍了如何向 Google Cloud 用户账号或服务账号授予对项目中基本 Dataproc Metastore 资源的访问权限。本页介绍的这些角色可用于创建 Dataproc Metastore 服务。
根据您希望该账号拥有的控制范围,您可以向其授予以下预定义 IAM 角色之一:
roles/metastore.editor
,用于授予对 Dataproc Metastore 资源的完全控制权roles/metastore.admin
以授予对 Dataproc Metastore 资源的完全控制权,包括更新 IAM 权限。
如需详细了解这些角色提供的特定 IAM 权限,请参阅 Dataproc Metastore IAM 角色。
准备工作
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Dataproc Metastore API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Dataproc Metastore API.
所需的角色
您必须在所使用的 Google Cloud 项目中拥有 roles/owner
(Owner)基本 IAM 角色,或者拥有授予以下权限的角色:
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
如需获得这些权限,同时遵循最小权限原则,请让管理员向您授予 roles/resourcemanager.projectIamAdmin
(项目 IAM 管理员)角色。
如何授予访问权限角色
gcloud
如需使用 gcloud CLI,您可以安装并初始化 Google Cloud CLI,也可以使用 Cloud Shell。
运行以下 add-iam-policy-binding
命令,向 IAM 正文(用户账号或服务账号)授予 Dataproc Metastore 预定义角色。
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL \ --role=METASTORE_ROLE
替换以下内容:
PROJECT_ID
:您要为其启用 Metastore 访问权限的项目的 ID。PRINCIPAL
:主账号的类型和电子邮件 ID(电子邮件地址)。- 对于用户账号:user:EMAIL_ID
- 对于服务账号:serviceAccount:EMAIL_ID
- 对于 Google 群组:group:EMAIL_ID
METASTORE_ROLE
:以下值之一,具体取决于您要向主账号授予的角色:roles/metastore.editor
或roles/metastore.admin
。如需详细了解这些角色授予的权限,请参阅 Dataproc Metastore IAM 角色。