"Managed Service for Apache Spark" is the new name for the product formerly known as "Dataproc on Compute Engine" (cluster deployment) and "Google Cloud Serverless for Apache Spark" (serverless deployment).

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Managed Service for Apache Spark のきめ細かい IAM

Managed Service for Apache Spark のきめ細かい IAM は、クラスタ、ジョブ、オペレーション、ワークフローテンプレート、自動スケーリングポリシーの各レベルで権限を付与できる機能です。

たとえば、あるユーザーにはクラスタ閲覧者のロールを付与してプロジェクト内のクラスタを表示できるようにし、別のユーザーにはジョブ編集者のロールを付与してジョブの表示だけでなく更新とキャンセルもできるようにします。 Managed Service for Apache Spark のきめ細かい IAM の各ロールで有効になる、特定の Google Cloud CLI コマンドの詳細については、きめ細かい IAM で有効になる SDK コマンドをご覧ください。

Managed Service for Apache Spark のきめ細かい IAM のロールと権限

Managed Service for Apache Spark のきめ細かい IAM では、Managed Service for Apache Spark リソースで次の各権限を持つロールを以下のように設定できます。

クラスタのロール

ロール	権限
閲覧者	dataproc.clusters.get
編集者	dataproc.clusters.get dataproc.clusters.list dataproc.clusters.delete dataproc.clusters.update dataproc.clusters.use dataproc.clusters.start dataproc.clusters.stop
オーナー	dataproc.clusters.get dataproc.clusters.list dataproc.clusters.delete dataproc.clusters.update dataproc.clusters.use dataproc.clusters.start dataproc.clusters.stop dataproc.clusters.setIamPolicy dataproc.clusters.getIamPolicy

ジョブのロール

ロール	権限
閲覧者	dataproc.jobs.get
編集者	dataproc.jobs.get dataproc.jobs.cancel dataproc.jobs.delete dataproc.jobs.update
オーナー	dataproc.jobs.get dataproc.jobs.cancel dataproc.jobs.delete dataproc.jobs.update dataproc.jobs.setIamPolicy dataproc.jobs.getIamPolicy

オペレーションのロール

ロール	権限
閲覧者	dataproc.operations.get
編集者	dataproc.jobs.get dataproc.operations.cancel dataproc.operations.delete
オーナー	dataproc.jobs.get dataproc.operations.cancel dataproc.operations.delete dataproc.operations.setIamPolicy dataproc.operations.getIamPolicy

ワークフローテンプレートのロール

ロール	権限
閲覧者	dataproc.workflowTemplates.get
編集者	dataproc.workflowTemplates.get dataproc.workflowTemplates.delete dataproc.workflowTemplates.update
オーナー	dataproc.workflowTemplates.get dataproc.workflowTemplates.delete dataproc.workflowTemplates.update dataproc.workflowTemplates.setIamPolicy dataproc.workflowTemplates.getIamPolicy

自動スケーリングポリシーのロール

ロール	権限
閲覧者	dataproc.autoscalingPolicies.get
編集者	dataproc.autoscalingPolicies.get dataproc.autoscalingPolicies.use dataproc.autoscalingPolicies.delete dataproc.autoscalingPolicies.update
オーナー	dataproc.autoscalingPolicies.get dataproc.autoscalingPolicies.use dataproc.autoscalingPolicies.delete dataproc.autoscalingPolicies.update dataproc.autoscalingPolicies.setIamPolicy dataproc.autoscalingPolicies.getIamPolicy

Managed Service for Apache Spark のきめ細かい IAM を使用する

このセクションでは、Managed Service for Apache Spark のきめ細かい IAM を使用して、既存の Managed Service for Apache Spark リソースに対するロールをユーザーに割り当てる方法について説明します。 Identity and Access Management（IAM）ロールの更新と削除の詳細については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

gcloud コマンド

リソースの IAM ポリシーを取得し、JSON ファイルに書き込みます（resource-type は、clusters、jobs、operations、workflow-templates、または autoscaling-policies になります）。
```
gcloud dataproc resource-type get-iam-policy  resource-id \
    --region=region \
    --format=json > iam.json
```

JSON ファイルの内容は次のようになります。

{
  "bindings": [
    {
      "role": "roles/editor",
      "members": [
        "user:mike@example.com",
        "group:admins@example.com",
        "domain:google.com",
        "serviceAccount:my-other-app@appspot.gserviceaccount.com"
      ]
    }
  ],
  "etag": "string"
}

テキストエディタを使用して、新しいバインディングオブジェクトを bindings 配列に追加し、ユーザーとそのユーザーに対するリソースアクセスのロールを定義します。たとえば、閲覧者ロール（roles/viewer）をユーザー sean@example.com に付与するには、前の例を変更して新しいバインディングオブジェクトを追加します（次の例の太字の部分）。注: gcloud dataproc resource-type get-iam-policy から受け取った etag 値を必ず返すようにしてください。etag のドキュメントをご覧ください。
```
{
  "bindings": [
    {
      "role": "roles/editor",
      "members": [
        "user:mike@example.com",
        "group:admins@example.com",
        "domain:google.com",
        "serviceAccount:my-other-app@appspot.gserviceaccount.com"
      ]
    },
    {
      "role": "roles/viewer",
      "members": [
        "user:sean@example.com"
      ]
    }
  ],
  "etag": "value-from-get-iam-policy"
}
```
次のコマンドを実行して、新しい bindings 配列でクラスタのポリシーを更新します（resource-type は、clusters、jobs、operations、workflow-templates、または autoscaling-policies になります）。
```
gcloud dataproc resource-type set-iam-policy resource-name \
    --region=region \
    --format=json iam.json
```

このコマンドでは、更新したポリシーが出力されます。

{
  "bindings": [
    {
      "role": "roles/editor",
      "members": [
        "user:mike@example.com",
        "group:admins@example.com",
        "domain:google.com",
        "serviceAccount:my-other-app@appspot.gserviceaccount.com"
      ]
    },
    {
      "role": "roles/viewer",
      "members": [
        "user:sean@example.com"
      ]
    }
  ],
  "etag": "string"
}

REST API

resource-type ("clusters" or "jobs" or "operations" or "workflowTemplates" or "autoscalingPolicies") getIamPolicy リクエストを発行して、リソースの IAM ポリシーを取得します。
クラスタ getIamPolicy の例
```
GET https://dataproc.googleapis.com/v1/projects/projectName/regions/region/clusters/clusterName:getIamPolicy
```

JSON ファイルの内容は次のようになります。

{
  "bindings": [
    {
      "role": "roles/editor",
      "members": [
        "user:mike@example.com",
        "group:admins@example.com",
        "domain:google.com",
        "serviceAccount:my-other-app@appspot.gserviceaccount.com"
      ]
    }
  ],
  "etag": "string"
}

テキストエディター使用して、次の JSON ポリシーオブジェクトを作成し、Managed Service for Apache Spark サービスから受け取った bindings 配列を囲みます。getIamPolicy レスポンスで受け取った etag 値を必ず返すようにしてください（ etag のドキュメントをご覧ください）。次に、ユーザーと、そのユーザーのクラスタアクセスのロールを定義する新しいバインディングオブジェクトを bindings 配列に追加します。たとえば、閲覧者ロール（roles/viewer）をユーザー sean@example.com に付与するには、上記の例を変更して新しいバインディングオブジェクトを追加します（下の太字の部分）。
```
{
  "policy": {
    "version": "",
    "bindings": [
      {
        "role": "roles/editor",
        "members": [
          "user:mike@example.com",
          "group:admins@example.com",
          "domain:google.com",
          "serviceAccount:my-other-app@appspot.gserviceaccount.com"
        ]
      },
      {
        "role": "roles/viewer",
        "members": [
          "user:sean@example.com"
        ]
      }
    ],
    "etag": "value-from-getIamPolicy"
  }
}
```

setIamPolicy リクエストを発行して、更新したポリシーをリソースに設定します。

クラスタ setIamPolicy の例:

POST https://dataproc.googleapis.com/v1/projects/projectName/regions/region/clusters/clusterName:setIamPolicy

Request body

{
  "policy": {
    "version": "",
    "bindings": [
      {
        "role": "roles/editor",
        "members": [
          "user:mike@example.com",
          "group:admins@example.com",
          "domain:google.com",
          "serviceAccount:my-other-app@appspot.gserviceaccount.com"
        ]
      },
      {
        "role": "roles/viewer",
        "members": [
          "user:sean@example.com"
        ]
      }
    ],
    "etag": "value-from-getIamPolicy"
  }
}

JSON レスポンスの内容は次のようになります。

レスポンス

{
  "bindings": [
    {
      "role": "roles/editor",
      "members": [
        "user:mike@example.com",
        "group:admins@example.com",
        "domain:google.com",
        "serviceAccount:my-other-app@appspot.gserviceaccount.com"
      ]
    },
    {
      "role": "roles/viewer",
      "members": [
        "user:sean@example.com"
      ]
    }
  ],
  "etag": "string"
}

コンソール

コンソールの [Managed Service for Apache Spark クラスタ] ページに移動し、クラスタ名の左側のボックスをクリックして、[権限/ラベル] パネルを開きます（このパネルが表示されない場合は、ページの右上にある [情報パネルを表示] をクリックします）。 Google Cloud [権限] タブで、Managed Service for Apache Spark ロールを選択して、 [プリンシパルを追加] ボックスに 1 つ以上のアカウントアドレスを追加し、 [追加] をクリックします。

きめ細かい IAM で有効になる SDK コマンド

このセクションでは、きめ細かい IAM ロールにより Managed Service for Apache Spark リソースに対して有効になる gcloud dataproc コマンドについて説明します。

クラスタ

IAM ロール	コマンド
閲覧者	`gcloud dataproc clusters describe cluster-name`
編集者	`gcloud dataproc clusters describe cluster-name` `gcloud dataproc clusters list` `gcloud dataproc clusters delete cluster-name` `gcloud dataproc clusters diagnose cluster-name` `gcloud dataproc clusters update cluster-name` `gcloud beta dataproc clusters start cluster-name` `gcloud beta dataproc clusters stop cluster-name`
オーナー	`gcloud dataproc clusters describe cluster-name` `gcloud dataproc clusters list` `gcloud dataproc clusters delete cluster-name` `gcloud dataproc clusters diagnose cluster-name` `gcloud dataproc clusters update cluster-name` `gcloud beta dataproc clusters start cluster-name` `gcloud beta dataproc clusters stop cluster-name` `gcloud dataproc clusters get-iam-policy cluster-name` `gcloud dataproc clusters set-iam-policy cluster-name`

ジョブ

IAM ロール	コマンド
閲覧者	`gcloud dataproc jobs describe job-id`
編集者	`gcloud dataproc jobs delete job-id` `gcloud dataproc jobs describe job-id` `gcloud dataproc jobs kill job-id` `gcloud dataproc jobs update job-id` `gcloud dataproc jobs wait job-id`
オーナー	`gcloud dataproc jobs delete job-id` `gcloud dataproc jobs describe job-id` `gcloud dataproc jobs kill job-id` `gcloud dataproc jobs update job-id` `gcloud dataproc jobs wait job-id` `gcloud dataproc jobs get-iam-policy job-id` `gcloud dataproc jobs set-iam-policy job-id`

運用

IAM ロール	コマンド
閲覧者	`gcloud dataproc operations describe operation-id`
編集者	`gcloud dataproc operations delete operation-id` `gcloud dataproc operations describe operation-id` `gcloud dataproc operations cancel operation-id`
オーナー	`gcloud dataproc operations delete operation-id` `gcloud dataproc operations describe operation-id` `gcloud dataproc operations cancel operation-id` `gcloud dataproc operations get-iam-policy operation-id` `gcloud dataproc operations set-iam-policy operation-id`

ワークフローテンプレート

IAM ロール	コマンド
閲覧者	`gcloud dataproc workflow-templates describe template-id`
編集者	`gcloud dataproc workflow-templates delete template-id` `gcloud dataproc workflow-templates describe template-id` `gcloud dataproc workflow-templates remove-job template-id` `gcloud dataproc workflow-templates run template-id`
オーナー	`gcloud dataproc workflow-templates delete template-id` `gcloud dataproc workflow-templates describe template-id` `gcloud dataproc workflow-templates remove-job template-id` `gcloud dataproc workflow-templates run template-id` `gcloud dataproc workflow-templates get-iam-policy template-id` `gcloud dataproc workflow-templates set-iam-policy template-id`

自動スケーリングポリシー

IAM ロール	コマンド
閲覧者	`gcloud dataproc autoscaling-policies describe policy-id`
編集者	`gcloud dataproc autoscaling-policies delete policy-id` `gcloud dataproc autoscaling-policies describe policy-id` `gcloud dataproc autoscaling-policies update policy-id` `gcloud dataproc clusters create cluster-name --autoscaling-policy policy-id`
オーナー	`gcloud dataproc autoscaling-policies delete policy-id` `gcloud dataproc autoscaling-policies describe policy-id` `gcloud dataproc autoscaling-policies update policy-id` `gcloud dataproc clusters create cluster-name --autoscaling-policy policy-id` `gcloud dataproc autoscaling-policies get-iam-policy policy-id` `gcloud dataproc autoscaling-policies set-iam-policy policy-id`

きめ細かい IAM を使用してジョブを送信する

Managed Service for Apache Spark のきめ細かい IAM を使用してプリンシパル（ユーザー、グループまたはサービスアカウント）が指定されたクラスタにジョブを送信できるようにするには、ユーザーにクラスタでの編集者の役割を付与するだけでなく、プロジェクトレベルで追加の権限を設定する必要があります。指定した Managed Service for Apache Spark クラスタでプリンシパルがジョブを送信できるようにするための手順は次のとおりです。

クラスタが Cloud Storage に接続するために使用できるCloud Storage バケットを作成します。
プリンシパルをバケットレベルのポリシーに追加し、そのメンバーの Storage オブジェクト閲覧者ロールを選択します（roles/storage.objectViewer をご覧ください）。このロールには次の権限が含まれています。
1. storage.objects.get
2. storage.objects.list
クラスタの作成時に、作成したバケットの名前をクラスタに渡します --bucket パラメータを使用します（ gcloud dataproc clusters create --bucket をご覧ください）。
クラスタを作成したら、プリンシパルに編集者またはオーナーのロールを付与するポリシーをそのクラスタに設定します（ Managed Service for Apache Spark のきめ細かい IAM を使用するをご覧ください）。
IAM カスタムロールを作成します次の権限を持つ:
1. dataproc.jobs.create
2. dataproc.jobs.get
Google Cloud コンソールの [IAM] ページでプリンシパルを選択または追加し、カスタムロールを選択してそのプリンシパルに適用します。