根據預設,所有 Google Cloud 專案都只有一位使用者,也就是原始專案建立者。除非使用者成為專案成員或連結至特定資源,否則不能存取專案,因此也無法存取其中的 Dataproc Metastore 資源。
本頁面說明如何在專案中新增使用者,以及如何為 Dataproc Metastore 資源設定存取控管。
什麼是 IAM?
Google Cloud 提供身分與存取權管理 (IAM) 功能,可對特定 Google Cloud 資源授予更精細的存取權,避免未經授權者存取其他資源。IAM 採用最小權限安全原則,可確保您僅授予使用者必要的資源存取權限。
您也可以設定 IAM 政策,控管「哪些使用者」(身分) 具備「哪些資源」的「何種權限」(角色)。身分與存取權管理政策可將特定角色授予專案成員,讓對方擁有特定權限。舉例來說,您可以將特定資源 (例如專案) 的 roles/metastore.admin 角色指派給某個 Google 帳戶,這個帳戶就有權控管該專案中的 Dataproc Metastore 資源,但無權管理其他資源。您也可以使用 IAM 管理授予專案團隊成員的基本角色。
使用者的存取權控制選項
如要讓使用者建立及管理 Dataproc Metastore 資源,您可以將使用者新增為專案或特定資源的團隊成員,並使用 IAM 角色來授予權限。
團隊成員可以是具備有效 Google 帳戶的個別使用者、Google 群組、服務帳戶或 Google Workspace 網域。新增專案或資源團隊成員時,您必須指定要授予他們的角色。IAM 提供三種類型的角色:預先定義的角色、基本角色和自訂角色。
如要查看每個 Dataproc Metastore 角色的功能清單,以及特定角色可授予權限的 API 方法,請參閱「Dataproc Metastore IAM 角色」。
如要瞭解其他成員類型 (例如服務帳戶和群組),請參閱政策繫結參考資料。
服務帳戶
當您呼叫 Dataproc Metastore API,在服務所在的專案中執行動作時,Dataproc Metastore 會使用具有必要權限的服務代理服務帳戶,代您執行這些動作。
下列服務帳戶具有必要權限,可在服務所在的專案中執行 Dataproc Metastore 動作:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com。
資源的 IAM 政策
您可以將 IAM 政策直接連結至 Dataproc Metastore 資源 (例如 Dataproc Metastore 服務),授予這些資源的存取權。IAM 政策可讓您管理這些資源上的 IAM 角色,而不是在專案層級管理角色。這樣一來,您就能透過更靈活的方式來落實最小權限原則;例如將協作者的權限侷限在工作需要的資源上。
資源同時也會繼承父項資源的政策。如果您在專案層級設定政策,該層級的所有子項資源都會繼承這項政策。會對資源發揮作用的政策,除了在資源層級設定的政策外,還包括資源從上層階級繼承的政策。詳情請參閱 IAM 政策階層。
您可以使用 Google Cloud 控制台、IAM API 或 Google Cloud CLI 取得及設定 IAM 政策。
- 如要使用 Google Cloud 控制台,請參閱透過 Google Cloud 控制台控管存取權。
- 如要使用 API,請參閱透過 API 控管存取權的說明。
- 如要使用 Google Cloud CLI,請參閱透過 Google Cloud CLI 控管存取權。
後續步驟
- 瞭解如何在使用 gRPC 時授予中繼資料的精細存取權
- 進一步瞭解 IAM 角色。
- 進一步瞭解 IAM 權限。
- 瞭解如何在專案層級設定政策。