向用户授予基本 Dataproc Metastore IAM 角色

本页介绍了如何向 Google Cloud 用户账号或服务账号授予对项目中基本 Dataproc Metastore 资源的访问权限。本页介绍的这些角色可用于创建 Dataproc Metastore 服务。

根据您希望该账号拥有的控制范围,您可以向其授予以下预定义 IAM 角色之一:

  • roles/metastore.editor,用于授予对 Dataproc Metastore 资源的完全控制权
  • roles/metastore.admin 以授予对 Dataproc Metastore 资源的完全控制权,包括更新 IAM 权限。

如需详细了解这些角色提供的特定 IAM 权限,请参阅 Dataproc Metastore IAM 角色

准备工作

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Dataproc Metastore API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Dataproc Metastore API.

    Enable the API

所需的角色

您必须在所使用的 Google Cloud 项目中拥有 roles/owner(Owner)基本 IAM 角色,或者拥有授予以下权限的角色:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

如需获得这些权限,同时遵循最小权限原则,请让管理员向您授予 roles/resourcemanager.projectIamAdmin(项目 IAM 管理员)角色。

如何授予访问权限角色

gcloud

如需使用 gcloud CLI,您可以安装并初始化 Google Cloud CLI,也可以使用 Cloud Shell

运行以下 add-iam-policy-binding 命令,向 IAM 正文(用户账号或服务账号)授予 Dataproc Metastore 预定义角色。

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

替换以下内容:

  • PROJECT_ID:您要为其启用 Metastore 访问权限的项目的 ID。
  • PRINCIPAL:主账号的类型和电子邮件 ID(电子邮件地址)。
    • 对于用户账号:user:EMAIL_ID
    • 对于服务账号:serviceAccount:EMAIL_ID
    • 对于 Google 群组:group:EMAIL_ID
  • METASTORE_ROLE:以下值之一,具体取决于您要向主账号授予的角色:roles/metastore.editorroles/metastore.admin。如需详细了解这些角色授予的权限,请参阅 Dataproc Metastore IAM 角色