Dataproc Metastore: controllo dell'accesso con IAM

Per impostazione predefinita, tutti i progetti Google Cloud includono un unico utente: il Project Creator originale. Nessun altro utente ha accesso al progetto e quindi alle risorse Dataproc Metastore finché un utente non viene aggiunto come membro del progetto o associato a una risorsa specifica.

Questa pagina spiega i modi in cui puoi aggiungere nuovi utenti al tuo progetto e come impostare controllo dell'accesso per le tue risorse Dataproc Metastore.

Che cos'è IAM?

Google Cloud offre Identity and Access Management (IAM), che ti consente di concedere un accesso più granulare a determinate risorse Google Cloud e impedisce l'accesso indesiderato ad altre risorse. Con IAM puoi adottare il principio di sicurezza del privilegio minimo e quindi concedere solo l'accesso necessario alle tue risorse.

IAM ti consente anche di controllare chi (identità) ha quale (ruoli) autorizzazione per quali risorse impostando le policy IAM. I criteri IAM assegnano ruoli specifici a un membro del progetto, concedendo all'identità determinate autorizzazioni. Ad esempio, per una determinata risorsa, come un progetto, puoi assegnare il ruolo roles/metastore.admin a un Account Google e questo account può controllare le risorse Dataproc Metastore nel progetto, ma non può gestire altre risorse. Puoi anche utilizzare IAM per gestire i ruoli di base concessi ai membri del team di progetto.

Opzioni di controllo dell'accesso per gli utenti

Per consentire agli utenti di creare e gestire le risorse Dataproc Metastore, puoi aggiungerli come membri del team al progetto o a risorse specifiche e concedere loro le autorizzazioni utilizzando i ruoli IAM.

Un membro del team può essere un singolo utente con un Account Google valido, un gruppo Google, unaccount di serviziot o un dominio Google Workspace. Quando aggiungi un membro del team a un progetto o a una risorsa, specifichi i ruoli da concedergli. IAM fornisce tre tipi di ruoli: ruoli predefiniti, ruoli di base e ruoli personalizzati.

Per visualizzare un elenco delle funzionalità di ogni ruolo Dataproc Metastore e dei metodi API a cui un ruolo specifico concede l'autorizzazione, consulta Ruoli IAM di Dataproc Metastore.

Per altri tipi di membri, come service account e gruppi, consulta il riferimento al binding dei criteri.

Account di servizio

Quando chiami le API Dataproc Metastore per eseguire azioni in un progetto in cui si trova il tuo servizio, Dataproc Metastore esegue queste azioni per tuo conto utilizzando un account di servizio agente di servizio con le autorizzazioni necessarie per eseguire le azioni.

I seguenti service account dispongono delle autorizzazioni necessarie per eseguire azioni Dataproc Metastore nel progetto in cui si trova il tuo servizio:

  • service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com.

Policy IAM per le risorse

Puoi concedere l'accesso alle risorse Dataproc Metastore collegando le policy IAM direttamente a queste risorse, ad esempio un servizio Dataproc Metastore. Una policy IAM ti consente di gestire i ruoli IAM su queste risorse anziché, o in aggiunta a, gestire i ruoli a livello di progetto. In questo modo, hai la flessibilità di applicare il principio del privilegio minimo, ovvero concedere l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per svolgere il proprio lavoro.

Le risorse ereditano anche le policy delle risorse padre. Se imposti una policy a livello di progetto, questa viene ereditata da tutte le risorse figlio. La policy applicata a una risorsa è data dall'unione della policy impostata per quella risorsa più la policy ereditata dal livello superiore della gerarchia. Per ulteriori informazioni, consulta i dettagli sulla gerarchia delle policy IAM.

Puoi ottenere e impostare le policy IAM utilizzando la console Google Cloud , l'API IAM o Google Cloud CLI.

Passaggi successivi