Nesta página, descrevemos como conceder acesso a uma Google Cloud conta de usuário ou de serviço aos recursos básicos do metastore do Dataproc em um projeto. Os papéis descritos nesta página concedem acesso para criar um serviço do metastore do Dataproc.
Dependendo do escopo de controle que você quer que a conta tenha, conceda um destes papéis predefinidos do IAM:
roles/metastore.editorpara conceder controle total dos recursos do metastore do Dataprocroles/metastore.adminpara conceder controle total dos recursos do metastore do Dataproc, incluindo a atualização das permissões do IAM.
Para informações detalhadas sobre as permissões específicas do IAM que esses papéis concedem, consulte Papéis do IAM do metastore do Dataproc.
Antes de começar
- Faça login na sua Google Cloud conta do. Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US $300 em créditos para executar, testar e implantar cargas de trabalho.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Dataproc Metastore API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Dataproc Metastore API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.
Papéis necessários
Você precisa ter o papel básico do IAM roles/owner (proprietário) no
Google Cloud projeto que está sendo usado ou um papel que conceda estas permissões:
resourcemanager.projects.getresourcemanager.projects.getIamPolicyresourcemanager.projects.setIamPolicy
Para receber essas permissões seguindo o princípio de privilégio mínimo, peça ao administrador que conceda a você o papel roles/resourcemanager.projectIamAdmin (administrador do IAM do projeto).
Como conceder papéis de acesso
gcloud
Para usar a CLI gcloud, você pode instalar e inicializar a Google Cloud CLI ou usar o Cloud Shell.
Execute o comando add-iam-policy-binding a seguir para conceder um papel predefinido do metastore do Dataproc a um principal do IAM
(conta de usuário ou de serviço).
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=PRINCIPAL \
--role=METASTORE_ROLESubstitua:
PROJECT_ID: o ID do projeto ao qual você quer ativar o acesso ao metastore.PRINCIPAL: o tipo e o ID de e-mail (endereço de e-mail) do principal.- Para contas de usuário: user:EMAIL_ID
- Para contas de serviço: serviceAccount:EMAIL_ID
- Para grupos do Google: group:EMAIL_ID
METASTORE_ROLE: um dos seguintes valores, dependendo do papel que você quer conceder ao principal:roles/metastore.editorouroles/metastore.admin. Para detalhes sobre as permissões que esses papéis concedem, consulte Papéis do IAM do metastore do Dataproc.