Esta página se ha traducido con Cloud Translation API.

Dataproc Metastore: control de acceso con gestión de identidades y accesos

De forma predeterminada, todos los proyectos Google Cloud tienen un solo usuario, el creador original del proyecto. Ningún otro usuario tiene acceso al proyecto y, por lo tanto, a los recursos de Dataproc Metastore, hasta que se añade como miembro del proyecto o se vincula a un recurso específico.

En esta página se explica cómo puedes añadir usuarios nuevos a tu proyecto y cómo configurar el control de acceso a tus recursos de Dataproc Metastore.

¿Qué es IAM?

Google Cloud ofrece Gestión de Identidades y Accesos (IAM), que te permite conceder un acceso más granular a recursos Google Cloud específicos y evitar accesos no deseados a otros recursos. IAM te permite adoptar el principio de seguridad de mínimos accesos, por lo que solo concedes el acceso necesario a tus recursos.

La gestión de identidades y accesos también te permite controlar quién (identidad) tiene qué permisos (roles) para acceder a qué recursos mediante la configuración de políticas de gestión de identidades y accesos. Las políticas de gestión de identidades y accesos conceden roles específicos a un miembro de un proyecto, lo que otorga a la identidad determinados permisos. Por ejemplo, en un recurso concreto, como un proyecto, puedes asignar el rol roles/metastore.admin a una cuenta de Google. Esta cuenta puede controlar los recursos de Dataproc Metastore del proyecto, pero no puede gestionar otros recursos. También puedes usar IAM para gestionar los roles básicos concedidos a los miembros del equipo del proyecto.

Opciones de control de acceso para usuarios

Para dar a los usuarios la posibilidad de crear y gestionar tus recursos de Dataproc Metastore, puedes añadirlos como miembros del equipo a tu proyecto o a recursos específicos y concederles permisos mediante roles de IAM.

Un miembro del equipo puede ser un usuario individual con una cuenta de Google válida, un grupo de Google, una cuenta de servicio o un dominio de Google Workspace. Cuando añades un miembro del equipo a un proyecto o a un recurso, especificas los roles que quieres asignarle. Gestión de identidades y accesos ofrece tres tipos de roles: roles predefinidos, roles básicos y roles personalizados.

Para ver una lista de las funciones de cada rol de Dataproc Metastore y los métodos de la API a los que un rol específico concede permiso, consulta Roles de gestión de identidades y accesos de Dataproc Metastore.

Para otros tipos de miembros, como cuentas de servicio y grupos, consulta la referencia de vinculación de políticas.

Cuentas de servicio

Cuando llamas a las APIs de Dataproc Metastore para realizar acciones en un proyecto en el que se encuentra tu servicio, Dataproc Metastore realiza estas acciones en tu nombre mediante una cuenta de servicio de agente de servicio que tiene los permisos necesarios para llevarlas a cabo.

Las siguientes cuentas de servicio tienen los permisos necesarios para realizar acciones de Dataproc Metastore en el proyecto en el que se encuentra tu servicio:

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com.

Nota: Es posible que tengas que conceder el rol storage.objectAdmin a esta cuenta de servicio para que tu servicio Dataproc Metastore tenga acceso a su directorio de almacén de metadatos de Hive si se proporciona un directorio de almacén no predeterminado. Para obtener más información, consulta Hive Metastore.

Políticas de gestión de identidades y accesos de recursos

Puedes conceder acceso a los recursos de Dataproc Metastore asociando políticas de gestión de identidades y accesos directamente a esos recursos, como un servicio de Dataproc Metastore. Una política de gestión de identidades y accesos te permite gestionar roles de gestión de identidades y accesos en esos recursos en lugar de gestionar roles a nivel de proyecto, o además de hacerlo. De esta forma, puedes aplicar el principio de mínimos accesos, que consiste en conceder acceso solo a los recursos específicos que los colaboradores necesitan para hacer su trabajo.

Los recursos también heredan las políticas de sus recursos superiores. Si defines una política a nivel de proyecto, todos sus recursos secundarios la heredarán. La política efectiva de un recurso es la unión de la política definida en ese recurso y la política heredada de un nivel superior de la jerarquía. Para obtener más información, consulta la jerarquía de políticas de IAM.

Puede obtener y definir políticas de gestión de identidades y accesos mediante la Google Cloud consola, la API de gestión de identidades y accesos o la CLI de Google Cloud.

Para la consola de Google Cloud , consulta Control de acceso mediante la consola de Google Cloud .
Para obtener información sobre la API, consulta Control de acceso mediante la API.
Para obtener información sobre Google Cloud CLI, consulta Control de acceso mediante Google Cloud CLI.

Siguientes pasos

Consulta cómo conceder acceso detallado a los metadatos al usar gRPC.
Consulta más información sobre los roles de gestión de identidades y accesos.
Más información sobre los permisos de gestión de identidades y accesos
Consulte cómo configurar políticas a nivel de proyecto.