Identity and Access Management (IAM) 可讓您控管使用者和群組的專案資源存取權。本文件著重說明與 Dataproc Serverless 相關的 IAM 權限,以及授予這些權限的 IAM 角色。
Dataproc Serverless 權限
Dataproc Serverless 權限可讓使用者 (包括服務帳戶) 對 Dataproc Serverless 資源執行動作。舉例來說,dataproc.batches.create 權限可讓您在專案中建立 Dataproc Serverless 批次。您不能直接授予使用者權限,而是指派內建一或多個權限的角色。
下表列出呼叫 Dataproc Serverless API (方法) 時所需的權限。這些表格是按照與各個 Dataproc Serverless 資源 (批次、工作階段、工作階段範本和作業) 相關的 API 進行編排。如要瞭解各個角色包含哪些 Google Cloud 權限,請參閱「Dataproc 角色」一節。
權限範圍:下表中列出的 Dataproc 無伺服器權限範圍是指其包含的 Google Cloud專案 (cloud-platform 範圍)。請參閱服務帳戶權限。
範例:
dataproc.batches.create允許在包含專案中建立批次。dataproc.sessions.create允許在包含專案中建立互動工作階段。dataproc.operations.list允許在包含專案中列出 Dataproc 作業的詳細資料。
批次權限
| 方法 | 所需權限 |
|---|---|
| projects.locations.batches.create | dataproc.batches.create 1 |
| projects.locations.batches.delete | dataproc.batches.delete |
| projects.locations.batches.get | dataproc.batches.get |
| projects.locations.batches.list | dataproc.batches.list |
1 dataproc.batches.create 也需要 dataproc.batches.get 和 dataproc.operations.get 權限,才能從 gcloud 指令列工具取得狀態更新。
工作階段權限
| 方法 | 所需權限 |
|---|---|
| projects.locations.sessions.create | dataproc.sessions.create 1 |
| projects.locations.sessions.delete | dataproc.sessions.delete |
| projects.locations.sessions.get | dataproc.sessions.get |
| projects.locations.sessions.list | dataproc.sessions.list |
| projects.locations.sessions.terminate | dataproc.sessions.terminate |
1 dataproc.sessions.create 也需要 dataproc.sessions.get 和 dataproc.operations.get 權限,才能從 gcloud 指令列工具取得狀態更新。
工作階段執行階段範本權限
| 方法 | 所需權限 |
|---|---|
| projects.locations.sessionTemplates.create | dataproc.sessionTemplates.create 1 |
| projects.locations.sessionTemplates.delete | dataproc.sessionTemplates.delete |
| projects.locations.sessionTemplates.get | dataproc.sessionTemplates.get |
| projects.locations.sessionTemplates.list | dataproc.sessionTemplates.list |
| projects.locations.sessionTemplates.update | dataproc.sessionTemplates.update |
1 dataproc.sessionTemplates.create 也需要 dataproc.sessionTemplates.get 和 dataproc.operations.get 權限,才能從 gcloud 指令列工具取得狀態更新。
作業權限
| 方法 | 所需權限 |
|---|---|
| projects.regions.operations.get | dataproc.operations.get |
| projects.regions.operations.list | dataproc.operations.list |
| projects.regions.operations.cancel 1 | dataproc.operations.cancel |
| projects.regions.operations.delete | dataproc.operations.delete |
| projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
| projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
1 如要取消批次作業,dataproc.operations.cancel 也需要 dataproc.batches.cancel 權限。
Dataproc Serverless 角色
Dataproc Serverless IAM 角色是由一或多個權限組合而成。您為使用者或群組授予角色,讓他們能夠對專案中的 Dataproc 無伺服器資源執行動作。例如,Dataproc 檢視者角色包含 dataproc.batches 和 dataproc.sessions 取得和列出權限,可讓您取得及列出專案中的 Dataproc Serverless 批次和工作階段。
下表列出 Dataproc Serverless IAM 角色,以及與各角色相關聯的權限:
| 角色 ID | 權限 |
|---|---|
| roles/dataproc.admin | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.batches.cancel dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.editor | dataproc.batches.cancel dataproc.batches.create dataproc.batches.delete dataproc.batches.get dataproc.batches.list dataproc.sessions.create dataproc.sessions.delete dataproc.sessions.get dataproc.sessions.list dataproc.sessions.terminate dataproc.sessionTemplates.create dataproc.sessionTemplates.delete dataproc.sessionTemplates.get dataproc.sessionTemplates.list dataproc.sessionTemplates.update |
| roles/dataproc.viewer | dataproc.batches.get dataproc.batches.list dataproc.sessions.get dataproc.sessions.list dataproc.sessionTemplates.get dataproc.sessionTemplates.list |
專案角色
您還可以使用 IAM 專案角色設定專案層級的權限。以下摘要列出與 IAM 專案角色有關的權限:
| 專案角色 | 權限 |
|---|---|
| 專案檢視者 | 保留狀態的唯讀動作的所有專案權限 (取得、表列) |
| 專案編輯者 | 所有專案檢視者權限,加上修改狀態動作的所有專案權限 (建立、刪除、更新、使用、取消、停止、開始) |
| 專案擁有者 | 所有專案編輯者權限,加上管理專案存取權 (取得/設定 IAM 政策) 及設定專案帳單的權限 |
自訂角色
您可以透過 Google Cloud 主控台或 gcloud 指令列工具,將 Dataproc 批次權限新增至自訂角色。
管理 IAM 政策
您可以使用 Google Cloud 主控台、IAM API 或 gcloud 指令列工具取得及設定 IAM 政策。
- 如要使用 Google Cloud 控制台,請參閱透過 Google Cloud 控制台控管存取權。
- 如要使用 API,請參閱「透過 API 控管存取權」。
- 如要使用
gcloud指令列工具,請參閱「透過 Google Cloud CLI 指令列工具控管存取權」。