Zugriff von Mitarbeitern auf das Dataproc Component Gateway

Hintergrund

Mit der Mitarbeiteridentitätsföderation können Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden, um Mitarbeiter, Partner und Auftragnehmer zu authentifizieren und zu autorisieren, damit sie auf Dienste zugreifen können. Google Cloud

Wenn die Mitarbeiteridentitätsföderation in Ihrem Projekt konfiguriert ist, können Nutzer mit externen Identitäten die Console, die Google Cloud CLI und die Dataproc API verwenden, um auf die meisten Dataproc-Ressourcen und -Funktionen zuzugreifen. Ausgenommen sind die folgenden: Google Cloud

• Dataproc Component Gateway
• Dataproc auf GKE
• Persönliche Dataproc-Authentifizierung
• Dataproc-Dienstkonto – sichere Mehrmandantenfähigkeit
• Der Abschnitt Ausgabe auf den Seiten mit den Batch- und Jobdetails und der Abschnitt Empfohlene Benachrichtigungen auf den Seiten mit der Cluster- und Jobliste in der Google Cloud Console.

Mitarbeiteridentitätsföderation mit dem Dataproc Component Gateway verwenden

1. Konfigurieren Sie die Mitarbeiteridentitätsföderation gemäß der Anleitung Mitarbeiteridentitätsföderation konfigurieren.

2. Gewähren Sie Nutzern mit externen Identitäten die dataproc.clusters.use Rolle, um den Zugriff auf das Dataproc Component Gateway zu ermöglichen (siehe IAM-Rollen Hauptkonten zuweisen).

   • Eine Anleitung zum Darstellen externer Identitäten in IAM Richtlinien finden Sie unter Workforce-Pool-Nutzer in IAM Richtlinien darstellen.

3. Erstellen Sie einen Dataproc-Cluster mit aktiviertem Component Gateway.

Auf Cluster-Weboberflächen zugreifen

Informationen finden Sie unter Component Gateway-URLs ansehen und auf diese zugreifen. Beachten Sie die folgenden Unterschiede für Nutzer mit externen Identitäten:

1. Nur Nutzer, die mit externen Identitäten authentifiziert sind, können auf die URL für externe Identitäten zugreifen. Wenn ein Nutzer die URL für externe Identitäten aufruft, während er nicht angemeldet ist, wird er zum Authentifizierungsportal weitergeleitet, wo er den Namen seines Workforce-Pool-Anbieters angibt. Anschließend wird er zu seinem Identitätsanbieter weitergeleitet, um sich anzumelden. Danach wird er zur Komponente Web-Benutzeroberfläche weitergeleitet.

2. URLs für externe Identitäten haben das folgende Format:

   https://UNIQUE_ID-dot-dataproc.byoid.googleusercontent.com
   

Nächste Schritte

• Erstellen Sie einen Cluster mit Dataproc-Komponenten.