Izin Dataproc Serverless dan peran IAM

Ringkasan

Dengan Identity and Access Management (IAM), Anda dapat mengontrol akses pengguna dan grup ke resource project Anda. Dokumen ini berfokus pada izin IAM yang relevan dengan Dataproc Serverless dan peran IAM yang memberikan izin tersebut.

Izin Dataproc Serverless

Izin serverless Dataproc memungkinkan pengguna, termasuk akun layanan, melakukan tindakan pada resource Dataproc Serverless. Misalnya, izin dataproc.batches.create memungkinkan Anda membuat batch Dataproc Serverless di project Anda. Anda tidak memberikan izin secara langsung kepada pengguna; tetapi, Anda memberi mereka peran, yang memiliki satu atau beberapa izin yang dipaketkan di dalamnya.

Tabel berikut mencantumkan izin yang diperlukan untuk memanggil (metode) Dataproc Serverless API. Tabel disusun menurut API yang terkait dengan setiap resource Dataproc Serverless (batch, sesi, sessionTemplate, dan operasi). Untuk mengetahui daftar izin Google Cloud yang disertakan dalam setiap peran, lihat Peran Dataproc.

Cakupan Izin:Cakupan izin Dataproc Serverless yang tercantum dalam tabel berikut adalah berisi project Google Cloud (cakupan cloud-platform). Lihat Izin akun layanan.

Contoh:

  • dataproc.batches.create mengizinkan pembuatan batch dalam project yang memuatnya.
  • dataproc.sessions.create mengizinkan pembuatan sesi interaktif di project yang memuatnya.
  • dataproc.operations.list mengizinkan listingan detail operasi dataproc dalam project yang memuatnya.

Izin batch

Metode Izin yang Diperlukan
projects.locations.batches.create dataproc.batches.create 1
projects.locations.batches.delete dataproc.batches.delete
projects.locations.batches.get dataproc.batches.get
projects.locations.batches.list dataproc.batches.list
  1. dataproc.batches.create juga memerlukan izin dataproc.batches.get dan dataproc.operations.get untuk mengizinkannya mendapatkan update status dari alat command line gcloud.

Izin sesi

Metode Izin yang Diperlukan
projects.locations.sessions.create dataproc.sessions.create 1
projects.locations.sessions.delete dataproc.sessions.delete
projects.locations.sessions.get dataproc.sessions.get
projects.locations.sessions.list dataproc.sessions.list
projects.locations.sessions.terminate dataproc.sessions.terminate

1 dataproc.sessions.create juga memerlukan izin dataproc.sessions.get dan dataproc.operations.get untuk mengizinkannya mendapatkan pembaruan status dari alat command line gcloud.

Izin template runtime sesi

Metode Izin yang Diperlukan
projects.locations.sessionTemplates.create dataproc.sessionTemplates.create 1
projects.locations.sessionTemplates.delete dataproc.sessionTemplates.delete
projects.locations.sessionTemplates.get dataproc.sessionTemplates.get
projects.locations.sessionTemplates.list dataproc.sessionTemplates.list
projects.locations.sessionTemplates.update dataproc.sessionTemplates.update
  1. dataproc.sessionTemplates.create juga memerlukan izin dataproc.sessionTemplates.get dan dataproc.operations.get untuk mengizinkannya mendapatkan update status dari alat command line gcloud.

Izin operasi

Metode Izin yang Diperlukan
projects.regions.operations.get dataproc.operations.get
projects.regions.operations.list dataproc.operations.list
projects.region.operations.cancel 1 dataproc.operations.cancel
projects.regions.operations.delete dataproc.operations.delete
projects.regions.operations.getIamPolicy dataproc.operations.getIamPolicy
projects.regions.operations.setIamPolicy dataproc.operations.setIamPolicy
  1. Untuk membatalkan operasi batch, dataproc.operations.cancel juga memerlukan izin dataproc.batches.cancel.

Peran Dataproc Serverless

Peran IAM Dataproc Serverless adalah paket yang terdiri dari satu atau beberapa izin. Anda memberikan peran kepada pengguna atau grup agar mereka dapat melakukan tindakan pada resource Dataproc Serverless di project Anda. Misalnya, peran Dataproc Viewer berisi izin mendapatkan dan mencantumkan dataproc.batches dan dataproc.sessions, yang memungkinkan Anda untuk mendapatkan dan mencantumkan batch dan sesi Dataproc Serverless dalam sebuah project.

Tabel berikut mencantumkan peran IAM Dataproc Serverless dan izin yang terkait dengan setiap peran:

ID Peran Izin
roles/dataproc.admin dataproc.batches.cancel
dataproc.batches.create
dataproc.batches.delete
dataproc.batches.get
dataproc.batches.list
dataproc.batches.cancel
dataproc.sessions.create
dataproc.sessions.delete
dataproc.sessions.get
dataproc.sessions.list
dataproc.sessions.getdelete.sessionTemplates.createprocsessions.getdeleteTemplate.sessionTemplates.createTemplateprocsession
roles/dataproc.editor dataproc.batches.cancel
dataproc.batches.create
dataproc.batches.delete
dataproc.batches.get
dataproc.batches.list
dataproc.sessions.create
dataproc.sessions.delete
dataproc.sessions.get
dataproc.sessions.list
dataproc.sessions.terminate
dataproc.sessionTemplates.create
dataproc.batches.list
dataproc.sessionTemplates.create
dataproc.sessions.delete
dataproc.sessions.delete
roles/dataproc.viewer dataproc.batches.get
dataproc.batches.list
dataproc.sessions.get
dataproc.sessions.list
dataproc.sessionTemplates.get
dataproc.sessionTemplates.list

Peran project

Anda juga dapat menetapkan izin di level project menggunakan peran Project IAM. Berikut adalah ringkasan izin yang terkait dengan peran Project IAM:

Peran Proyek Izin
Project Viewer Semua izin project untuk tindakan hanya-baca yang mempertahankan status (get, list)
Editor Project Semua izin Project Viewer serta semua izin project untuk tindakan yang mengubah status (membuat, menghapus, memperbarui, menggunakan, membatalkan, menghentikan, memulai)
Pemilik Project Semua izin Project Editor ditambah izin untuk mengelola kontrol akses project (mendapatkan/menetapkan IamPolicy) dan menyiapkan penagihan project

Peran Khusus

Izin batch Dataproc dapat ditambahkan ke peran khusus melalui Google Cloud Console atau alat command line gcloud.

Pengelolaan IAM

Anda dapat memperoleh dan menetapkan kebijakan IAM menggunakan Google Cloud Console, IAM API, atau alat command line gcloud.

Langkah selanjutnya