Identity and Access Management (IAM) memungkinkan Anda mengontrol akses pengguna dan grup ke resource project Anda. Dokumen ini berfokus pada izin IAM yang relevan dengan Serverless untuk Apache Spark dan peran IAM yang memberikan izin tersebut.
Izin Serverless for Apache Spark
Izin Serverless for Apache Spark memungkinkan pengguna, termasuk
akun layanan,
melakukan tindakan pada resource
Serverless for Apache Spark. Misalnya, izin dataproc.batches.create
memungkinkan Anda membuat batch Serverless untuk Apache Spark di project Anda.
Anda tidak secara langsung memberikan izin kepada pengguna; tetapi, Anda memberikan peran kepada pengguna, yang memiliki satu atau beberapa izin yang dipaketkan di dalamnya.
Tabel berikut mencantumkan izin yang diperlukan untuk memanggil API (metode) Serverless for Apache Spark. Tabel disusun berdasarkan API yang terkait dengan setiap resource Serverless for Apache Spark (batch, sesi, sessionTemplate, dan operasi). Untuk mengetahui daftar izin yang disertakan dalam setiap peran, lihat Peran Dataproc. Google Cloud
Cakupan Izin:Cakupan izin Serverless for Apache Spark yang tercantum dalam tabel berikut adalah project yang berisi (cakupan cloud-platform). Google CloudLihat
Izin akun layanan.
Contoh:
dataproc.batches.createmengizinkan pembuatan batch dalam project yang berisi.dataproc.sessions.createmengizinkan pembuatan sesi interaktif dalam project yang berisi.dataproc.operations.listmengizinkan pencantuman detail operasi Dataproc dalam project yang berisi.
Izin batch
| Metode | Izin yang Diperlukan |
|---|---|
| projects.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
1 dataproc.batches.create juga memerlukan izin dataproc.batches.get dan
dataproc.operations.get untuk memungkinkannya mendapatkan pembaruan status
dari alat command line gcloud.
Izin sesi
| Metode | Izin yang Diperlukan |
|---|---|
| projects.locations.sessions.create | dataproc.sessions.create 1 |
| projects.locations.sessions.delete | dataproc.sessions.delete |
| projects.locations.sessions.get | dataproc.sessions.get |
| projects.locations.sessions.list | dataproc.sessions.list |
| projects.locations.sessions.terminate | dataproc.sessions.terminate |
1 dataproc.sessions.create juga memerlukan izin dataproc.sessions.get dan
dataproc.operations.get untuk memungkinkannya mendapatkan pembaruan status
dari alat command line gcloud.
Izin template runtime sesi
| Metode | Izin yang Diperlukan |
|---|---|
| projects.locations.sessionTemplates.create | dataproc.sessionTemplates.create 1 |
| projects.locations.sessionTemplates.delete | dataproc.sessionTemplates.delete |
| projects.locations.sessionTemplates.get | dataproc.sessionTemplates.get |
| projects.locations.sessionTemplates.list | dataproc.sessionTemplates.list |
| projects.locations.sessionTemplates.update | dataproc.sessionTemplates.update |
1 dataproc.sessionTemplates.create juga memerlukan izin dataproc.sessionTemplates.get dan
dataproc.operations.get untuk memungkinkannya mendapatkan pembaruan status
dari alat command line gcloud.
Izin operasi
| Metode | Izin yang Diperlukan |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
1 Untuk membatalkan operasi batch, dataproc.operations.cancel juga memerlukan
izin dataproc.batches.cancel.
Peran Serverless for Apache Spark
Peran IAM Serverless untuk Apache Spark
adalah paket berisi satu atau beberapa izin.
Anda memberikan peran kepada pengguna atau grup untuk mengizinkan mereka melakukan tindakan pada
resource Serverless for Apache Spark di
project Anda. Misalnya, peran Dataproc Viewer berisi izin get dan list dataproc.batches dan dataproc.sessions, yang memungkinkan Anda mendapatkan dan mencantumkan batch dan sesi Serverless untuk Apache Spark dalam project.
Tabel berikut mencantumkan peran IAM Serverless for Apache Spark dan izin yang terkait dengan setiap peran:
| ID Peran | Izin |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.batches.cancel dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list dataproc.sessions.get dataproc.sessions.list dataproc.sessionTemplates.get dataproc.sessionTemplates.list |
Peran project
Anda juga dapat menetapkan izin di level project menggunakan peran Project IAM. Berikut ringkasan izin yang terkait dengan peran Project IAM:
| Peran Project | Izin |
|---|---|
| Project Viewer | Semua izin project untuk tindakan hanya baca yang mempertahankan status (get, list) |
| Editor Project | Semua izin Project Viewer ditambah semua izin project untuk tindakan yang mengubah status (buat, hapus, perbarui, gunakan, batalkan, hentikan, mulai) |
| Pemilik Project | Semua izin Editor Project ditambah izin untuk mengelola kontrol akses project (get/set IamPolicy) dan untuk menyiapkan penagihan project |
Peran Khusus
Izin batch Dataproc dapat ditambahkan ke peran khusus melalui
konsol Google Cloud atau alat command line gcloud.
Mengelola kebijakan IAM
Anda dapat memperoleh dan menetapkan kebijakan IAM menggunakan konsol Google Cloud , IAM API, atau alat command line
gcloud.
- Untuk konsol Google Cloud , lihat Kontrol akses menggunakan konsol Google Cloud .
- Untuk API, lihat Kontrol akses menggunakan API.
- Untuk alat command line
gcloud, lihat Kontrol akses menggunakan alat command line Google Cloud CLI.