根據預設,所有 Google Cloud 專案都只有一位使用者:原始專案建立者。除非使用者成為專案團隊成員或連結至特定資源,否則沒有任何其他使用者能夠存取專案,也無法存取其中的 Dataproc Metastore 資源。
本頁面將說明您可以透過哪些方式在專案中新增使用者,以及如何為 Dataproc Metastore 資源調整存取權控管設定。
什麼是 IAM?
Google Cloud 提供「身分與存取權管理」(IAM) 功能,可讓您以更精細的方式授予特定 Google Cloud 資源的存取權,並避免其他資源遭到未經授權者擅自存取。IAM 能讓您採用最低權限安全性原則,僅授予必要的資源存取權限給使用者。
設定身分與存取權管理政策後,即可控管哪些人 (身分) 具備何種角色權限,可以存取哪些資源。身分與存取權管理政策可將特定角色授予專案成員,讓對方擁有特定權限。舉例來說,您可以將某個特定資源 (例如專案) 的 roles/metastore.admin 角色指派給一個 Google 帳戶,該帳戶即可控管專案中的 Dataproc Metastore 資源,但無法管理其他資源。您也可以使用身分與存取權管理來管理授予專案團隊成員的基本角色。
使用者的存取權控制選項
如要讓使用者建立及管理 Dataproc Metastore 資源,您可以將使用者新增為專案或特定資源的團隊成員,並使用 IAM 角色來授予權限。
團隊成員可以是具備有效 Google 帳戶的個別使用者、Google 群組、服務帳戶或 Google Workspace 網域。新增專案或資源團隊成員時,您必須指定要授予他們的角色。IAM 提供三種類型的角色:預先定義的角色、基本角色和自訂角色。
如需各個 Dataproc Metastore 角色的功能清單,以及特定角色可授予權限的 API 方法,請參閱 Dataproc Metastore IAM 角色。
如需其他成員類型 (例如服務帳戶和群組) 的相關資訊,請參閱政策繫結參考資料。
服務帳戶
當您呼叫 Dataproc Metastore API 在服務所在的專案中執行動作時,Dataproc Metastore 會使用具有執行動作所需權限的服務代理服務帳戶,代您執行這些動作。
以下服務帳戶具有必要權限,可在服務所在的專案中執行 Dataproc Metastore 動作:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com。
資源的 IAM 政策
您可以將 IAM 政策直接連結至 Dataproc Metastore 服務等資源,藉此授予 Dataproc Metastore 資源存取權。您可以使用 IAM 政策管理這些資源的 IAM 角色,而非或除了在專案層級管理角色。這樣一來,您就能透過更靈活的方式來落實最小權限原則;例如將協作者的權限侷限在工作需要的資源上。
資源同時也會繼承父項資源的政策。如果您在專案層級設定政策,該層級的所有子項資源都會繼承這項政策。會對資源發揮作用的政策,除了在資源層級設定的政策外,還包括資源從上層階級繼承的政策。詳情請參閱 IAM 政策階層。
您可以使用 Google Cloud 控制台、IAM API 或 Google Cloud CLI 取得及設定 IAM 政策。
- 如要使用 Google Cloud 控制台,請參閱透過 Google Cloud 控制台控管存取權。
- 如要使用 API,請參閱透過 API 控管存取權的說明。
- 如要使用 Google Cloud CLI,請參閱「透過 Google Cloud CLI 控管存取權」。
後續步驟
- 瞭解如何在使用 gRPC 時授予中繼資料的精細存取權
- 進一步瞭解身分與存取權管理角色。
- 進一步瞭解 IAM 權限。
- 瞭解如何在專案層級設定政策。