Nutzern grundlegende IAM-Rollen für Dataproc Metastore zuweisen

Auf dieser Seite wird beschrieben, wie Sie einem Google Cloud Nutzerkonto oder Dienstkonto Zugriff auf grundlegende Dataproc Metastore-Ressourcen in einem Projekt gewähren. Diese auf dieser Seite beschriebenen Rollen ermöglichen den Zugriff zum Erstellen eines Dataproc Metastore-Dienstes.

Je nach Umfang der Kontrolle, die das Konto haben soll, weisen Sie ihm eine der folgenden vordefinierten IAM-Rollen zu:

  • roles/metastore.editor für die vollständige Kontrolle über Dataproc Metastore-Ressourcen
  • roles/metastore.admin für die vollständige Kontrolle über Dataproc Metastore-Ressourcen, einschließlich der Aktualisierung von IAM-Berechtigungen.

Detaillierte Informationen zu den spezifischen IAM-Berechtigungen, die diese Rollen bieten, finden Sie unter IAM-Rollen für Dataproc Metastore.

Hinweis

  1. Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Konto bei Google Cloudhaben, erstellen Sie ein Konto, um die Leistung unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Dataproc Metastore API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Dataproc Metastore API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

Erforderliche Rollen

Sie benötigen die grundlegende IAM-Rolle roles/owner (Inhaber) im Google Cloud verwendeten Projekt oder eine Rolle, die diese Berechtigungen gewährt:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Berechtigungen nach dem Prinzip der geringsten Berechtigung erhalten Sie, wenn der Administrator Ihnen die Rolle roles/resourcemanager.projectIamAdmin (Project IAM Admin) zuweist.

Anleitung: Zugriffsrollen gewähren

gcloud

Wenn Sie die gcloud CLI verwenden möchten, können Sie die Google Cloud CLI installieren und initialisieren oder Cloud Shell verwenden.

Führen Sie den folgenden Befehl add-iam-policy-binding aus, um einem IAM-Hauptkonto (Nutzerkonto oder Dienstkonto) eine vordefinierte Dataproc Metastore-Rolle zuzuweisen.

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

Ersetzen Sie Folgendes:

  • PROJECT_ID: Die ID des Projekts, für das Sie den Metastore-Zugriff aktivieren möchten.
  • PRINCIPAL: Der Typ und die E-Mail-ID (E-Mail-Adresse) des Hauptkontos.
    • Für Nutzerkonten: user:EMAIL_ID
    • Für Dienstkonten: serviceAccount:EMAIL_ID
    • Für Google-Gruppen: group:EMAIL_ID
  • METASTORE_ROLE: Einer der folgenden Werte, je nach der Rolle, die Sie dem Prinzipal zuweisen möchten: roles/metastore.editor oder roles/metastore.admin. Weitere Informationen zu den Berechtigungen, die diese Rollen gewähren, finden Sie unter IAM-Rollen für Dataproc Metastore.