Otorga roles de IAM básicos de Dataproc Metastore a los usuarios

En esta página, se describe cómo otorgar acceso a una cuenta de usuario o de servicio de Google Cloud a los recursos básicos de Dataproc Metastore en un proyecto. Estos roles descritos en esta página proporcionan acceso para crear un servicio de Dataproc Metastore.

Según el alcance de control que quieras que tenga la cuenta, puedes otorgarle uno de estos roles de IAM predefinidos:

  • roles/metastore.editor para otorgar control total de los recursos de Dataproc Metastore
  • roles/metastore.admin para otorgar control total de los recursos de Dataproc Metastore, incluida la actualización de los permisos de IAM.

Para obtener información detallada sobre los permisos de IAM específicos que proporcionan estos roles, consulta Roles de IAM de Dataproc Metastore.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  4. Enable the Dataproc Metastore API.

    Enable the API

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  7. Enable the Dataproc Metastore API.

    Enable the API

    8.

Funciones requeridas

Debes tener el rol de IAM básico de roles/owner (Propietario) en la Proyecto de Google Cloud que estás usando o un rol que otorgue estos permisos:

  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy

Para obtener estos permisos y seguir el principio de privilegio mínimo, pídele a tu administrador que te otorgue el rol de roles/resourcemanager.projectIamAdmin (administrador de IAM del proyecto).

Cómo otorgar roles de acceso

gcloud

Para usar gcloud CLI, puedes instalar y, luego, inicializar Google Cloud CLI, o bien puedes usar Cloud Shell.

Ejecuta el siguiente comando add-iam-policy-binding para otorgar un rol predefinido de Metastore de Dataproc a un principal de IAM (cuenta de usuario o cuenta de servicio).

  gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=PRINCIPAL \
     --role=METASTORE_ROLE

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto al que deseas habilitar el acceso de Metastore.
  • PRINCIPAL: Es el tipo y el ID de correo electrónico (dirección de correo electrónico) de la principal.
    • Para cuentas de usuario: usuario:EMAIL_ID
    • Para cuentas de servicio: serviceAccount:EMAIL_ID
    • Para Grupos de Google: grupo:EMAIL_ID
  • METASTORE_ROLE: Uno de los siguientes valores, según el rol que desees otorgar a la principal: roles/metastore.editor o roles/metastore.admin. Para obtener detalles sobre los permisos que otorgan estos roles, consulta Roles de IAM de Dataproc Metastore.