プロジェクト間のデプロイを設定する

Dataproc Metastore プロジェクト横断デプロイを設定して、次のリソースを分離できます。

Dataproc Metastore サービス。
Dataproc Metastore サービスに接続されている Dataproc クラスタ。
Dataproc クラスタで使用されるネットワーク。

始める前に

プロジェクトで Dataproc Metastore を有効にします。
Dataproc Metastore サービスの作成。
プロジェクトに特有のネットワーキング要件を理解します。

必要なロール

Dataproc Metastore と Dataproc クラスタの作成に必要な権限を取得するには、管理者に次の IAM ロールの付与を依頼します。

Dataproc Metastore リソースに対する完全アクセス権を付与する場合: メタストアプロジェクトに対する Dataproc Metastore 編集者（roles/metastore.editor）。

ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

Dataproc Metastore の特定のロールと権限については、IAM によるアクセス管理をご覧ください。

プロジェクト横断デプロイについて

Dataproc Metastore のプロジェクト横断デプロイは、次のように構成できます。

2 つのプロジェクト:
- プロジェクト 1 には Dataproc クラスタ（クラスタプロジェクト）が含まれる。
- プロジェクト 2 には Dataproc Metastore サービスとネットワーク（メタストアプロジェクトとネットワークプロジェクト）が含まれる。
2 つのプロジェクト:
- プロジェクト 1 には Dataproc クラスタが含まれる。
- プロジェクト 2 には Dataproc Metastore サービスとネットワーク（メタストアプロジェクトとネットワークプロジェクト）が含まれる。
2 つのプロジェクト:
- プロジェクト 1 には Dataproc クラスタと Dataproc Metastore サービス（クラスタプロジェクトとメタストアプロジェクト）が含まれる。
- プロジェクト 2 にはネットワーク（ネットワークプロジェクト）が含まれる。
3 つのプロジェクト:
- プロジェクト 1 には Dataproc クラスタ（クラスタプロジェクト）が含まれる。
- プロジェクト 2 には Dataproc Metastore サービス（メタストアプロジェクト）が含まれる。
- プロジェクト 3 にはネットワーク（ネットワークプロジェクト）が含まれる。

次の図は、使用できるプロジェクト構成の概要を示しています。

Dataproc Metastore と Dataproc クラスタのデプロイ時における、あるプロジェクト構成の概要

プロジェクト横断的な権限

プロジェクト横断的な権限を設定する前に、その構成に必要かどうかを判断します。

プロジェクト間の追加の権限を設定する必要がある

Dataproc クラスタと Dataproc Metastore サービスが別々のプロジェクトにある場合。
Dataproc Metastore サービスとネットワークが別々のプロジェクトにある場合。

プロジェクト横断的な権限を設定する

クラスタプロジェクトとメタストアプロジェクトが別々のプロジェクトにある場合は、次のロールを付与します。

roles/metastore.user をクラスタプロジェクトの Dataproc サービスエージェントアカウント（メタストアプロジェクトの IAM ポリシーに含まれる）に付与します。この構成は、Thrift エンドポイントプロトコルと gRPC エンドポイントプロトコルの両方に適用されます。

ネットワークプロジェクトとメタストアプロジェクトが別のプロジェクトにある場合は、次のロールを付与します。

roles/metastore.serviceAgent をメタストアプロジェクトのサービスエージェント（ネットワークプロジェクトの IAM ポリシーに含まれている）に付与します。この構成は、Thrift エンドポイントプロトコルにのみ適用されます。

Console

次の手順でプロジェクト番号を確認します。

[IAM と管理] の [設定] タブに移動します。
ページの上部にあるプロジェクトリストで、Dataproc クラスタの作成に使用するプロジェクトを選択します。
プロジェクト番号を書き留めます。

権限を構成します。

[IAM] タブに移動します。
ページの上部にあるプロジェクトリストで、メタストアプロジェクトを選択します。
[追加] をクリックします。
[新しいメンバー] 項目にサービスアカウントを入力します。
[ロール] メニューから、[Dataproc Metastore] > [Dataproc Metastore 閲覧者] の順に選択します。
[追加] をクリックします。

上の手順を完了した後に、Dataproc Metastore サービスに接続された Dataproc クラスタを作成できます。これを行うには、Dataproc クラスタのネットワークまたはサブネットワークの構成が、Dataproc Metastore のネットワークまたはサブネットワークと一致している必要があります。

例:

gcloud metastore services create SERVICE \
     --network=projects/HOST_PROJECT/global/networks/NETWORK_ID