Autorizzazioni e ruoli IAM di Dataproc Serverless

Identity and Access Management (IAM) ti consente di controllare l'accesso di utenti e gruppi alle risorse del tuo progetto. Questo documento si concentra sulle autorizzazioni IAM pertinenti a Dataproc Serverless e sui ruoli IAM che concedono queste autorizzazioni.

Autorizzazioni Dataproc Serverless

Le autorizzazioni Dataproc Serverless consentono agli utenti, inclusi gli account di servizio, di eseguire azioni sulle risorse Dataproc Serverless. Ad esempio, l'autorizzazione dataproc.batches.create ti consente di creare batch Dataproc Serverless nel tuo progetto. Non concedi direttamente le autorizzazioni agli utenti, ma concedi loro ruoli che includono una o più autorizzazioni.

Le tabelle riportate di seguito elencano le autorizzazioni necessarie per chiamare le API (metodi) Dataproc Serverless. Le tabelle sono organizzate in base alle API associate a ogni risorsa Dataproc Serverless (batch, sessioni, sessionTemplate e operazioni). Per un elenco delle autorizzazioni Google Cloud incluse in ogni ruolo, consulta Ruoli Dataproc.

Ambito delle autorizzazioni: l'ambito delle autorizzazioni Dataproc Serverless elencate nelle tabelle seguenti è il progetto Google Cloud contenente (ambito cloud-platform). Consulta Autorizzazioni account di servizio.

Esempi:

  • dataproc.batches.create consente la creazione di batch nel progetto contenente.
  • dataproc.sessions.create consente la creazione di una sessione interattiva nel progetto contenente.
  • dataproc.operations.list consente di elencare i dettagli delle operazioni Dataproc nel progetto contenente.

Autorizzazioni batch

Metodo Autorizzazioni richieste
projects.locations.batches.create dataproc.batches.create 1
projects.locations.batches.delete dataproc.batches.delete
projects.locations.batches.get dataproc.batches.get
projects.locations.batches.list dataproc.batches.list

1 dataproc.batches.create richiede inoltre le autorizzazioni dataproc.batches.get e dataproc.operations.get per poter ricevere aggiornamenti sullo stato dallo strumento a riga di comando gcloud.

Autorizzazioni della sessione

Metodo Autorizzazioni richieste
projects.locations.sessions.create dataproc.sessions.create 1
projects.locations.sessions.delete dataproc.sessions.delete
projects.locations.sessions.get dataproc.sessions.get
projects.locations.sessions.list dataproc.sessions.list
projects.locations.sessions.terminate dataproc.sessions.terminate

1 dataproc.sessions.create richiede inoltre le autorizzazioni dataproc.sessions.get e dataproc.operations.get per poter ricevere aggiornamenti sullo stato dallo strumento a riga di comando gcloud.

Autorizzazioni del modello di runtime della sessione

Metodo Autorizzazioni richieste
projects.locations.sessionTemplates.create dataproc.sessionTemplates.create 1
projects.locations.sessionTemplates.delete dataproc.sessionTemplates.delete
projects.locations.sessionTemplates.get dataproc.sessionTemplates.get
projects.locations.sessionTemplates.list dataproc.sessionTemplates.list
projects.locations.sessionTemplates.update dataproc.sessionTemplates.update

1 dataproc.sessionTemplates.create richiede inoltre le autorizzazioni dataproc.sessionTemplates.get e dataproc.operations.get per poter ricevere aggiornamenti sullo stato dallo strumento a riga di comando gcloud.

Autorizzazioni di gestione

Metodo Autorizzazioni richieste
projects.regions.operations.get dataproc.operations.get
projects.regions.operations.list dataproc.operations.list
projects.regions.operations.cancel 1 dataproc.operations.cancel
projects.regions.operations.delete dataproc.operations.delete
projects.regions.operations.getIamPolicy dataproc.operations.getIamPolicy
projects.regions.operations.setIamPolicy dataproc.operations.setIamPolicy

1 Per annullare le operazioni collettive, dataproc.operations.cancel richiede anche l'autorizzazione dataproc.batches.cancel.

Ruoli Dataproc Serverless

I ruoli IAM Dataproc Serverless sono un insieme di una o più autorizzazioni. Concedi i ruoli a utenti o gruppi per consentire loro di eseguire azioni sulle risorse Dataproc Serverless nel tuo progetto. Ad esempio, il ruolo Visualizzatore Dataproc contiene le autorizzazioni di recupero e visualizzazione dataproc.batches e dataproc.sessions, che consentono di recuperare e visualizzare sessioni e batch Dataproc Serverless in un progetto.

La tabella seguente elenca i ruoli IAM di Dataproc Serverless e le autorizzazioni associate a ciascun ruolo:

ID ruolo Autorizzazioni
roles/dataproc.admin dataproc.batches.cancel
dataproc.batches.create
dataproc.batches.delete
dataproc.batches.get
dataproc.batches.list
dataproc.batches.cancel
dataproc.sessions.create
dataproc.sessions.delete
dataproc.sessions.get
dataproc.sessions.list
dataproc.sessions.terminate
dataproc.sessionTemplates.create
dataproc.sessionTemplates.delete
dataproc.sessionTemplates.get
dataproc.sessionTemplates.list
dataproc.sessionTemplates.update
roles/dataproc.editor dataproc.batches.cancel
dataproc.batches.create
dataproc.batches.delete
dataproc.batches.get
dataproc.batches.list
dataproc.sessions.create
dataproc.sessions.delete
dataproc.sessions.get
dataproc.sessions.list
dataproc.sessions.terminate
dataproc.sessionTemplates.create
dataproc.sessionTemplates.delete
dataproc.sessionTemplates.get
dataproc.sessionTemplates.list
dataproc.sessionTemplates.update
roles/dataproc.viewer dataproc.batches.get
dataproc.batches.list
dataproc.sessions.get
dataproc.sessions.list
dataproc.sessionTemplates.get
dataproc.sessionTemplates.list

Ruoli progetto

Puoi anche impostare le autorizzazioni a livello di progetto utilizzando i ruoli IAM Project. Ecco un riepilogo delle autorizzazioni associate ai ruoli di progetto IAM:

Ruolo progetto Autorizzazioni
Visualizzatore progetto Tutte le autorizzazioni del progetto per azioni di sola lettura che preservano lo stato (get, list)
Editor progetto Tutte le autorizzazioni di Visualizzatore progetto, oltre a tutte le autorizzazioni del progetto per le azioni che modificano lo stato (creazione, eliminazione, aggiornamento, utilizzo, annullamento, interruzione, avvio)
Proprietario progetto Tutte le autorizzazioni di Editor del progetto, oltre alle autorizzazioni per gestire il controllo dell'accesso per il progetto (get/set IamPolicy) e per configurare la fatturazione del progetto

Ruoli personalizzati

Le autorizzazioni batch di Dataproc possono essere aggiunte ai ruoli personalizzati tramite la console Google Cloud o lo strumento a riga di comando gcloud.

Gestione dei criteri IAM

Puoi recuperare e impostare i criteri IAM utilizzando la console Google Cloud, l'API IAM o lo strumento a riga di comando gcloud.

Passaggi successivi