Dataproc Metastore:使用 IAM 进行访问权限控制

默认情况下,所有 Google Cloud 项目都只包含一位用户:原始项目创建者。其他用户在被添加为项目成员或绑定到特定资源之后,才能访问相关项目和 Dataproc Metastore 资源。

本页面介绍了向项目添加新用户的方式,以及如何设置 Dataproc Metastore 资源的访问权限控制。

什么是 IAM?

Google Cloud 提供 Identity and Access Management (IAM),可让您授予对特定 Google Cloud 资源的更精细访问权限,并防止对其他资源进行不必要的访问。IAM 允许您采用最小权限安全原则,因此您只需授予对您的资源的必要访问权限即可。

IAM 还允许您通过设置 IAM 政策来控制谁(身份)对哪些资源具有何种权限(角色)。IAM 政策可为项目成员授予特定角色,进而授予相应身份特定权限。例如,您可以为 Google 账号分配给定资源(如项目)的 roles/metastore.admin 角色,此后该账号便可控制项目中的 Dataproc Metastore 资源,但无法管理其他资源。您还可以使用 IAM 来管理向项目团队成员授予的基本角色。

针对用户的访问权限控制选项

为了让用户能够创建和管理您的 Dataproc Metastore 资源,您可以将用户作为团队成员添加到项目或特定资源,然后使用 IAM 角色向这些用户授予权限。

团队成员可以是具有有效 Google 账号的个人用户、Google 群组、服务账号或 Google Workspace 网域。当您将团队成员添加到项目或资源中时,请指定要向其授予的角色。IAM 提供三种类型的角色:预定义角色基本角色自定义角色

如需查看每个 Dataproc Metastore 角色以及特定角色向其授予权限的 API 方法的功能列表,请参阅 Dataproc Metastore IAM 角色

对于服务账号和群组等其他成员类型,请参阅政策绑定参考文档

服务账号

当您调用 Dataproc Metastore API 以在服务所在的项目中执行操作时,Dataproc Metastore 将使用具备执行操作所需的权限的服务代理服务账号来代表您执行这些操作。

下列服务账号具有所需的权限,可以在您的服务所在的项目中执行 Dataproc Metastore 操作:

  • service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com

资源的 IAM 政策

通过将 IAM 政策直接附加到 Dataproc Metastore 资源(例如 Dataproc Metastore 服务),您可以授予对这些资源的访问权限。通过 IAM 政策,您可以管理这些资源的 IAM 角色,甚至在项目级管理角色。这可让您灵活应用最低权限原则,例如,仅授予协作者完成其工作所需的特定资源的权限。

资源会沿用其父级资源的政策。如果在项目级层设置政策,则项目的所有子资源都会沿用该政策。资源的有效政策是为该资源设置的政策及其从层次结构中更高层级沿用而来的政策的集合。如需了解详情,请参阅 IAM 政策层次结构

您可以使用 Google Cloud 控制台、IAM API 或 Google Cloud CLI 来获取和设置 IAM 政策。

后续步骤