O Identity and Access Management (IAM) permite controlar o acesso de usuários e grupos aos recursos do projeto. Este documento se concentra nas permissões do IAM relevantes para o Serverless para Apache Spark e nos papéis do IAM que concedem essas permissões.
Permissões do Serverless para Apache Spark
Com as permissões do Serverless para Apache Spark, os usuários, incluindo contas de serviço, podem realizar ações em recursos do Serverless para Apache Spark. Por exemplo, a permissão dataproc.batches.create permite criar lotes do Serverless para Apache Spark no seu projeto.
Você não concede permissões diretamente aos usuários. Em vez disso, você concede papéis, que já têm uma ou mais permissões incluídas.
As tabelas a seguir listam as permissões necessárias para chamar as APIs (métodos) do Serverless para Apache Spark. As tabelas são organizadas de acordo com as APIs associadas a cada recurso do Serverless para Apache Spark (lotes, sessões, sessionTemplates e operações). Para uma lista das permissões do Google Cloud incluídas em cada papel, consulte Papéis do Dataproc.
Escopo da permissão:o escopo das permissões do Serverless para Apache Spark
listadas nas tabelas a seguir é o projeto Google Cloud(escopo cloud-platform). Consulte Permissões da conta de serviço.
Exemplos:
dataproc.batches.createpermite a criação de lotes no projetodataproc.sessions.createpermite a criação de uma sessão interativa no projetodataproc.operations.listpermite a listagem de detalhes de operações do Dataproc no projeto.
Permissões em lote
| Método | Permissões necessárias |
|---|---|
| projects.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
1 O dataproc.batches.create também exige permissões de dataproc.batches.get e
dataproc.operations.get para receber atualizações de status
da ferramenta de linha de comando gcloud.
Permissões de sessão
| Método | Permissões necessárias |
|---|---|
| projects.locations.sessions.create | dataproc.sessions.create 1 |
| projects.locations.sessions.delete | dataproc.sessions.delete |
| projects.locations.sessions.get | dataproc.sessions.get |
| projects.locations.sessions.list | dataproc.sessions.list |
| projects.locations.sessions.terminate | dataproc.sessions.terminate |
1 O dataproc.sessions.create também exige permissões de dataproc.sessions.get e
dataproc.operations.get para receber atualizações de status
da ferramenta de linha de comando gcloud.
Permissões do modelo de ambiente de execução da sessão
| Método | Permissões necessárias |
|---|---|
| projects.locations.sessionTemplates.create | dataproc.sessionTemplates.create 1 |
| projects.locations.sessionTemplates.delete | dataproc.sessionTemplates.delete |
| projects.locations.sessionTemplates.get | dataproc.sessionTemplates.get |
| projects.locations.sessionTemplates.list | dataproc.sessionTemplates.list |
| projects.locations.sessionTemplates.update | dataproc.sessionTemplates.update |
1 O dataproc.sessionTemplates.create também exige permissões de dataproc.sessionTemplates.get e
dataproc.operations.get para receber atualizações de status
da ferramenta de linha de comando gcloud.
Permissões de operações
| Método | Permissão exigida |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
1 Para cancelar operações em lote, o dataproc.operations.cancel também exige a permissão dataproc.batches.cancel.
Funções do Serverless para Apache Spark
Os papéis do IAM do Serverless para Apache Spark
são um pacote de uma ou mais permissões.
Você atribui papéis a usuários ou grupos para permitir que executem ações nos recursos do
Serverless para Apache Spark no seu
projeto. Por exemplo, o papel Leitor do Dataproc contém as
permissões de recebimento e listagem dataproc.batches e dataproc.sessions, que
permitem receber e listar lotes e sessões do Serverless para Apache Spark em um projeto.
A tabela a seguir lista os papéis do IAM do Serverless para Apache Spark e as permissões associadas a cada um:
| Código do papel | Permissões |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.batches.cancel dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list dataproc.sessions.get dataproc.sessions.list dataproc.sessionTemplates.get dataproc.sessionTemplates.list |
Papéis do projeto
Você também pode definir permissões no nível do projeto usando os papéis do Projeto do IAM. Este é um resumo das permissões associadas aos papéis do Projeto do IAM:
| Papel do projeto | Permissões |
|---|---|
| Visualizador do projeto | Todas as permissões do projeto para ações somente leitura que preservam o estado (get, lista) |
| Editor do projeto | Todas as permissões do Visualizador do projeto acrescidas de todas as permissões do projeto para ações que modificam o estado (criar, excluir, atualizar, usar, cancelar, interromper, iniciar) |
| Proprietário do projeto | Todas as permissões do Editor do projeto acrescidas das permissões para gerenciar o controle de acesso do projeto (get/set IamPolicy) e configurar o faturamento do projeto |
Papéis personalizados
As permissões de lote do Dataproc podem ser adicionadas a papéis personalizados pelo console Google Cloud ou pela ferramenta de linha de comando gcloud.
Como gerenciar as políticas do IAM
É possível receber e definir políticas do IAM usando o console Google Cloud , a API IAM ou a
ferramenta de linha de comando gcloud.
- Para o console do Google Cloud , consulte Controle de acesso usando o console do Google Cloud .
- Para a API, consulte Controle de acesso usando a API.
- Para a ferramenta de linha de comando
gcloud, consulte Controle de acesso usando a ferramenta de linha de comando da Google Cloud CLI.