Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Dataproc Metastore: בקרת גישה באמצעות IAM

כברירת מחדל, כל הפרויקטים כוללים משתמש אחד – היוצר המקורי של הפרויקט. Google Cloud לאף משתמש אחר אין גישה לפרויקט, ולכן גם לא למשאבי Dataproc Metastore, עד שמוסיפים משתמש כחבר בפרויקט או עד שמקשרים אותו למשאב ספציפי.

בדף הזה מוסבר איך אפשר להוסיף משתמשים חדשים לפרויקט ואיך להגדיר בקרת גישה למשאבי Dataproc Metastore.

מה זה IAM?

‫Google Cloud כולל את הממשק לניהול הזהויות והרשאות הגישה (IAM), שבאמצעותו אתם יכולים לתת גישה פרטנית יותר למשאבים ספציפיים ב- Google Cloud ולמנוע גישה לא רצויה למשאבים אחרים. בעזרת IAM אתם יכולים לשמור על עקרון האבטחה של הרשאות מינימליות, וכך לתת למי שצריך רק את רמת הגישה הדרושה למשאבים השונים.

בנוסף, באמצעות כללי המדיניות ב-IAM תוכלו לקבוע למי (זהות) יש אילו (תפקידים) הרשאות על אילו משאבים. כללי המדיניות ב-IAM מקצים לחברי פרויקט תפקידים ספציפיים, שיש להם הרשאות ספציפיות. לדוגמה, תוכלו לתת לחשבון Google מסוים את התפקיד roles/metastore.admin בפרויקט ספציפי. כך, המשתמש באותו חשבון יוכל לשלוט במשאבי Dataproc Metastore בפרויקט אבל לא לנהל משאבים אחרים. אפשר גם להשתמש ב-IAM כדי לנהל את התפקידים הבסיסיים שניתנים לחברי צוות הפרויקט.

אפשרויות בקרת גישה למשתמשים

כדי לתת למשתמשים את האפשרות ליצור ולנהל את משאבי Dataproc Metastore, אתם יכולים להוסיף משתמשים כחברי צוות לפרויקט או למשאבים ספציפיים ולהעניק להם הרשאות באמצעות תפקידי IAM.

חבר צוות יכול להיות משתמש פרטי עם חשבון Google תקף, קבוצת Google, חשבון שירות או דומיין Google Workspace. כשמוסיפים חבר צוות לפרויקט או למשאב, מציינים אילו תפקידים להקצות לו. מערכת IAM מספקת שלושה סוגי תפקידים: תפקידים מוגדרים מראש, תפקידים בסיסיים ותפקידים בהתאמה אישית.

כדי לראות רשימה של היכולות של כל תפקיד ב-Dataproc Metastore ושל שיטות ה-API שהרשאה לתפקיד ספציפי מאפשרת, אפשר לעיין במאמר תפקידי IAM ב-Dataproc Metastore.

למידע על סוגים אחרים של חברים, כמו חשבונות שירות וקבוצות, אפשר לעיין בהפניה לקישור מדיניות.

חשבונות שירות

כשקוראים ל-Dataproc Metastore APIs כדי לבצע פעולות בפרויקט שבו נמצא השירות, Dataproc Metastore מבצע את הפעולות האלה בשמכם באמצעות חשבון שירות של סוכן שירות שיש לו את ההרשאות הנדרשות לביצוע הפעולות.

לחשבונות השירות הבאים יש את ההרשאות הנדרשות לביצוע פעולות ב-Dataproc Metastore בפרויקט שבו נמצא השירות:

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com.

הערה: אם מספקים ספריית מחסן נתונים שאינה ברירת המחדל, יכול להיות שתצטרכו להקצות לחשבון השירות הזה את התפקיד storage.objectAdmin כדי שלשירות Dataproc Metastore תהיה גישה לספריית מחסן הנתונים של Hive metastore. מידע נוסף זמין במאמר בנושא Hive Metastore.

מדיניות IAM למשאבים

אפשר להעניק גישה למשאבי Dataproc Metastore על ידי צירוף כללי מדיניות של IAM ישירות למשאבים האלה, כמו שירות Dataproc Metastore. מדיניות IAM מאפשרת לכם לנהל תפקידי IAM במשאבים האלה במקום לנהל תפקידים ברמת הפרויקט, או בנוסף לכך. כך תוכלו להחיל את העיקרון של הרשאות מינימליות, כלומר להעניק גישה רק למשאבים הספציפיים שהמשתפים צריכים כדי לבצע את העבודה שלהם.

המשאבים יורשים גם את המדיניות של משאבי ההורה שלהם. אם תגדירו מדיניות ברמת הפרויקט, היא תעבור בירושה לכל המשאבים הצאצאים. המדיניות בפועל של משאב היא האיחוד של המדיניות שהוגדרה למשאב הזה והמדיניות שהוא יורש מרמות גבוהות יותר בהיררכיה. מידע נוסף זמין במאמר בנושא היררכיית מדיניות IAM.

אפשר לקבל ולהגדיר מדיניות IAM באמצעות מסוף Google Cloud ,‏ IAM API או Google Cloud CLI.

למידע על מסוף Google Cloud , ראו בקרת גישה דרך מסוף Google Cloud .
למידע על ה-API, ראו בקרת גישה באמצעות ה-API.
ב-Google Cloud CLI, אפשר לקרוא את המאמר בקרת גישה באמצעות Google Cloud CLI.