Mit Identity and Access Management (IAM) können Sie den Nutzer- und Gruppenzugriff auf Ihre Projektressourcen steuern. In diesem Dokument werden die für Serverless for Apache Spark relevanten IAM-Berechtigungen und die IAM-Rollen beschrieben, mit denen diese Berechtigungen gewährt werden.
Berechtigungen für Serverless for Apache Spark
Mit Berechtigungen für Serverless for Apache Spark können Nutzer, einschließlich Dienstkonten, Aktionen für Serverless for Apache Spark-Ressourcen ausführen. Mit der Berechtigung dataproc.batches.create können Sie beispielsweise Serverless for Apache Spark-Batches in Ihrem Projekt erstellen.
Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern Sie weisen ihnen
Rollen zu, die eine oder mehrere Berechtigungen enthalten.
In den folgenden Tabellen werden die Berechtigungen aufgeführt, die zum Aufrufen von Serverless for Apache Spark APIs (Methoden) erforderlich sind. Die Tabellen sind entsprechend den APIs organisiert, die mit den einzelnen Serverless for Apache Spark-Ressourcen (Batches, Sitzungen, Sitzungsvorlagen und Vorgänge) verbunden sind. Eine Liste der in den einzelnen Rollen enthaltenen Google Cloud -Berechtigungen finden Sie unter Dataproc-Rollen.
Geltungsbereich der Berechtigung:Die in den folgenden Tabellen aufgeführten Berechtigungen für Serverless for Apache Spark gelten für das zugehörige Google Cloud-Projekt (cloud-platform-Bereich). Weitere Informationen finden Sie unter Dienstkontoberechtigungen.
Beispiele:
dataproc.batches.createberechtigt zum Erstellen von Batches im zugehörigen Projekt.dataproc.sessions.createberechtigt zum Erstellen einer interaktiven Sitzung im zugehörigen Projekt.dataproc.operations.listberechtigt zum Auflisten der Details von Dataproc-Vorgängen im zugehörigen Projekt.
Batchberechtigungen
| Methode | Erforderliche Berechtigungen |
|---|---|
| projects.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
Für dataproc.batches.create sind auch die Berechtigungen dataproc.batches.get und dataproc.operations.get erforderlich, damit Statusaktualisierungen über das gcloud-Befehlszeilentool abgerufen werden können.
Sitzungsberechtigungen
| Methode | Erforderliche Berechtigungen |
|---|---|
| projects.locations.sessions.create | dataproc.sessions.create 1 |
| projects.locations.sessions.delete | dataproc.sessions.delete |
| projects.locations.sessions.get | dataproc.sessions.get |
| projects.locations.sessions.list | dataproc.sessions.list |
| projects.locations.sessions.terminate | dataproc.sessions.terminate |
Für dataproc.sessions.create sind auch die Berechtigungen dataproc.sessions.get und dataproc.operations.get erforderlich, damit Statusaktualisierungen über das gcloud-Befehlszeilentool abgerufen werden können.
Berechtigungen für Vorlagen für die Sitzungslaufzeit
| Methode | Erforderliche Berechtigungen |
|---|---|
| projects.locations.sessionTemplates.create | dataproc.sessionTemplates.create 1 |
| projects.locations.sessionTemplates.delete | dataproc.sessionTemplates.delete |
| projects.locations.sessionTemplates.get | dataproc.sessionTemplates.get |
| projects.locations.sessionTemplates.list | dataproc.sessionTemplates.list |
| projects.locations.sessionTemplates.update | dataproc.sessionTemplates.update |
Für dataproc.sessionTemplates.create sind auch die Berechtigungen dataproc.sessionTemplates.get und dataproc.operations.get erforderlich, damit Statusaktualisierungen über das gcloud-Befehlszeilentool abgerufen werden können.
Berechtigungen für Vorgänge
| Methode | Erforderliche Berechtigung(en) |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
1 Zum Abbrechen von Batchvorgängen ist für dataproc.operations.cancel auch die Berechtigung dataproc.batches.cancel erforderlich.
Rollen für Serverless for Apache Spark
IAM-Rollen für Serverless for Apache Spark enthalten eine oder mehrere Berechtigungen.
Sie erteilen Nutzern oder Gruppen Rollen, damit sie Aktionen für die Serverless for Apache Spark-Ressourcen in Ihrem Projekt ausführen können. Die Rolle Dataproc-Betrachter umfasst beispielsweise die Berechtigungen dataproc.batches und dataproc.sessions zum Abrufen und Auflisten, die es Ihnen ermöglichen, Serverless for Apache Spark-Batches und ‑Sitzungen in einem Projekt abzurufen und aufzulisten.
In der folgenden Tabelle sind die IAM-Rollen für Serverless for Apache Spark und die Berechtigungen aufgeführt, die mit jeder Rolle verknüpft sind:
| Rollen-ID | Berechtigungen |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.batches.cancel dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list dataproc.sessions.get dataproc.sessions.list dataproc.sessionTemplates.get dataproc.sessionTemplates.list |
Projektrollen
Sie können auch Berechtigungen auf Projektebene festlegen, indem Sie die IAM- Projektrollen verwenden. Nachfolgend finden Sie eine Übersicht über alle Berechtigungen, die mit IAM-Projektrollen verknüpft sind.
| Projektrolle | Berechtigungen |
|---|---|
| Projektbetrachter | Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status (get, list) beibehalten |
| Projektbearbeiter | Alle Berechtigungen des Projektbetrachters sowie alle Projektberechtigungen für Aktionen, die den Status ändern (erstellen, löschen, aktualisieren, verwenden, abbrechen, anhalten, starten) |
| Projektinhaber | Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffskontrolle für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung |
Benutzerdefinierte Rollen
Dataproc-Batchberechtigungen können benutzerdefinierten Rollen über die Google Cloud -Konsole oder das gcloud-Befehlszeilentool hinzugefügt werden.
IAM-Richtlinien verwalten
Sie können IAM-Richtlinien mithilfe der Google Cloud -Konsole, der IAM API oder des gcloud-Befehlszeilentools abrufen und festlegen.
- Informationen zur Google Cloud Console finden Sie unter Zugriffssteuerung über die Google Cloud Console.
- Weitere Informationen zur API finden Sie unter Zugriffssteuerung über die API.
- Informationen zum
gcloud-Befehlszeilentool finden Sie unter Zugriffssteuerung über das Google Cloud CLI-Befehlszeilentool.