Attribuer des rôles IAM Dataproc Metastore de base aux utilisateurs

Cette page explique comment accorder à un Google Cloud compte utilisateur ou à un compte de service l'accès aux ressources Dataproc Metastore de base dans un projet. Les rôles décrits sur cette page permettent de créer un service Dataproc Metastore.

Selon le niveau de contrôle que vous souhaitez accorder au compte, attribuez-lui l'un des rôles IAM prédéfinis suivants :

  • roles/metastore.editor pour accorder un contrôle total des ressources Dataproc Metastore
  • roles/metastore.admin pour accorder un contrôle total des ressources Dataproc Metastore, y compris la mise à jour des autorisations IAM.

Pour en savoir plus sur les autorisations IAM spécifiques fournies par ces rôles, consultez la section Rôles IAM Dataproc Metastore.

Avant de commencer

  1. Connectez-vous à votre Google Cloud compte. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Dataproc Metastore API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Dataproc Metastore API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

Rôles requis

Vous devez disposer du rôle IAM de base roles/owner (Propriétaire) dans le Google Cloud projet que vous utilisez, ou d'un rôle qui accorde les autorisations suivantes :

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Pour obtenir ces autorisations tout en suivant le principe du moindre privilège, demandez à votre administrateur de vous attribuer le rôle roles/resourcemanager.projectIamAdmin (Administrateur IAM du projet).

Accorder des rôles d'accès

gcloud

Pour utiliser la gcloud CLI, vous pouvez installer et initialiser la Google Cloud CLI, ou utiliser Cloud Shell.

Exécutez la commande add-iam-policy-binding suivante pour accorder un rôle prédéfini Dataproc Metastore à un compte principal IAM (compte utilisateur ou compte de service).

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet pour lequel vous souhaitez activer l'accès à Metastore.
  • PRINCIPAL : type et ID de l'adresse e-mail du compte principal.
    • Pour les comptes utilisateur : user:EMAIL_ID
    • Pour les comptes de service : serviceAccount:EMAIL_ID
    • Pour les groupes Google : group:EMAIL_ID
  • METASTORE_ROLE : l'une des valeurs suivantes, selon le rôle que vous souhaitez accorder au compte principal : roles/metastore.editor ou roles/metastore.admin. Pour en savoir plus sur les autorisations accordées par ces rôles, consultez la section Rôles IAM Dataproc Metastore.