Nesta página, descrevemos como conceder a uma conta de usuário ou de serviço acesso aos recursos básicos do metastore do Dataproc em um projeto. Google Cloud As funções descritas nesta página fornecem acesso para criar um serviço do metastore do Dataproc.
Dependendo do escopo de controle que você quer que a conta tenha, conceda a ela um destes papéis predefinidos do IAM:
roles/metastore.editorpara conceder controle total dos recursos do metastore do Dataprocroles/metastore.adminpara conceder controle total dos recursos do metastore do Dataproc, incluindo a atualização das permissões do IAM.
Para informações detalhadas sobre as permissões específicas do IAM que esses papéis oferecem, consulte Papéis do IAM do Dataproc Metastore.
Antes de começar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Dataproc Metastore API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Dataproc Metastore API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. resourcemanager.projects.getresourcemanager.projects.getIamPolicyresourcemanager.projects.setIamPolicyPROJECT_ID: o ID do projeto em que você quer ativar o acesso ao Metastore.PRINCIPAL: o tipo e o ID de e-mail (endereço de e-mail) do principal.- Para contas de usuário: user:EMAIL_ID
- Para contas de serviço: serviceAccount:EMAIL_ID
- Para o Google Grupos: group:EMAIL_ID
METASTORE_ROLE: um dos seguintes valores, dependendo do papel que você quer conceder ao principal:roles/metastore.editorouroles/metastore.admin. Para detalhes sobre as permissões concedidas por esses papéis, consulte Papéis do IAM do Dataproc Metastore.
Papéis necessários
Você precisa ter o papel básico do IAM roles/owner (Proprietário) no
projetoGoogle Cloud que está usando ou um papel que conceda estas permissões:
Para receber essas permissões seguindo o princípio de privilégio mínimo,
peça ao administrador para conceder a você o papel de roles/resourcemanager.projectIamAdmin (administrador do IAM do projeto).
Como conceder papéis de acesso
gcloud
Para usar a CLI gcloud, você pode instalar e inicializar a Google Cloud CLI ou usar o Cloud Shell.
Execute o comando add-iam-policy-binding a seguir para conceder um papel predefinido do metastore do Dataproc a um principal do IAM
(conta de usuário ou conta de serviço).
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=PRINCIPAL \
--role=METASTORE_ROLESubstitua: