Présentation
Identity and Access Management (IAM) vous permet de contrôler l'accès des utilisateurs et des groupes aux ressources du projet. Ce document met l'accent sur les autorisations IAM pertinentes pour Dataproc et sur les rôles IAM qui accordent ces autorisations.
Autorisations Dataproc
Les autorisations Dataproc permettent aux utilisateurs, y compris aux comptes de service, d'effectuer des actions sur les clusters, les tâches, les opérations et les modèles de workflow Dataproc. Par exemple, l'autorisation dataproc.clusters.create
permet à un utilisateur de créer des clusters Dataproc dans un projet.
En règle générale, vous n'accordez pas d'autorisations, mais vous accordez des rôles, qui incluent une ou plusieurs autorisations.
Les tableaux ci-dessous répertorient les autorisations nécessaires pour appeler les API (méthodes) Dataproc. Les tables sont organisées en fonction des API associées à chaque ressource Dataproc (clusters, tâches, opérations et modèles de workflow).
Champ d'application des autorisations:le champ d'application des autorisations Dataproc répertoriées dans les tableaux suivants correspond au projet Google Cloud contenant (champ d'application cloud-platform
). Consultez la section Autorisations de compte de service.
Exemples :
dataproc.clusters.create
permet de créer des clusters Dataproc dans le projet associé.dataproc.jobs.create
permet d'envoyer des tâches Dataproc aux clusters Dataproc dans le projet associé.dataproc.clusters.list
permet de répertorier les détails des clusters Dataproc dans le projet associé.
Autorisations de clusters
Méthode | Autorisations requises |
---|---|
projects.regions.clusters.create 1, 2 | dataproc.clusters.create |
projects.regions.clusters.get | dataproc.clusters.get |
projects.regions.clusters.list | dataproc.clusters.list |
projects.regions.clusters.patch 1, 2, 3 | dataproc.clusters.update |
projects.regions.clusters.delete 1 | dataproc.clusters.delete |
projects.regions.clusters.start | dataproc.clusters.start |
projects.regions.clusters.stop | dataproc.clusters.stop |
projects.regions.clusters.getIamPolicy | dataproc.clusters.getIamPolicy |
projects.regions.clusters.setIamPolicy | dataproc.clusters.setIamPolicy |
Remarques :
- L'autorisation
dataproc.operations.get
est également requise pour obtenir les mises à jour d'état de la Google Cloud CLI. - L'autorisation
dataproc.clusters.get
est également requise pour obtenir le résultat de l'opération à partir de la Google Cloud CLI. - L'autorisation
dataproc.autoscalingPolicies.use
est également requise pour activer une règle d'autoscaling sur un cluster.
Autorisations des tâches
Méthode | Autorisations requises |
---|---|
projects.regions.jobs.submit 1, 2 | dataproc.jobs.create dataproc.clusters.use |
projects.regions.jobs.get | dataproc.jobs.get |
projects.regions.jobs.list | dataproc.jobs.list |
projects.regions.jobs.cancel 1 | dataproc.jobs.cancel |
projects.regions.jobs.patch 1 | dataproc.jobs.update |
projects.regions.jobs.delete 1 | dataproc.jobs.delete |
projects.regions.jobs.getIamPolicy | dataproc.jobs.getIamPolicy |
projects.regions.jobs.setIamPolicy | dataproc.jobs.setIamPolicy |
Remarques :
La Google Cloud CLI nécessite également l'autorisation
dataproc.jobs.get
pour les commandesjobs submit
,jobs wait
,jobs update
,jobs delete
etjobs kill
.La gcloud CLI nécessite également l'autorisation
dataproc.clusters.get
pour envoyer des tâches. Vous trouverez un exemple de définition des autorisations nécessaires pour qu'un utilisateur puisse exécutergcloud dataproc jobs submit
sur un cluster à l'aide de l'IAM précise Dataproc (consultez Envoyer des tâches avec l'IAM précise).
Autorisations d'opérations
Méthode | Autorisations requises |
---|---|
projects.regions.operations.get | dataproc.operations.get |
projects.regions.operations.list | dataproc.operations.list |
projects.regions.operations.cancel | dataproc.operations.cancel |
projects.regions.operations.delete | dataproc.operations.delete |
projects.regions.operations.getIamPolicy | dataproc.operations.getIamPolicy |
projects.regions.operations.setIamPolicy | dataproc.operations.setIamPolicy |
Autorisations associées aux modèles de workflow
Méthode | Autorisations requises |
---|---|
projects.regions.workflowTemplates.instantiate | dataproc.workflowTemplates.instantiate |
projects.regions.workflowTemplates.instantiateInline | dataproc.workflowTemplates.instantiateInline |
projects.regions.workflowTemplates.create | dataproc.workflowTemplates.create |
projects.regions.workflowTemplates.get | dataproc.workflowTemplates.get |
projects.regions.workflowTemplates.list | dataproc.workflowTemplates.list |
projects.regions.workflowTemplates.update | dataproc.workflowTemplates.update |
projects.regions.workflowTemplates.delete | dataproc.workflowTemplates.delete |
projects.regions.workflowTemplates.getIamPolicy | dataproc.workflowTemplates.getIamPolicy |
projects.regions.workflowTemplates.setIamPolicy | dataproc.workflowTemplates.setIamPolicy |
Notes :
Les autorisations des modèles de flux de travail sont indépendantes des autorisations de clusters et de tâches. Un utilisateur qui ne dispose pas des autorisations
create cluster
ousubmit job
peut créer et instancier un modèle de workflow.La Google Cloud CLI nécessite également l'autorisation
dataproc.operations.get
pour interroger l'achèvement du workflow.L'autorisation
dataproc.operations.cancel
est requise pour annuler un workflow en cours d'exécution.
Autorisations des règles d'autoscaling
Méthode | Autorisations requises |
---|---|
projects.regions.autoscalingPolicies.create | dataproc.autoscalingPolicies.create |
projects.regions.autoscalingPolicies.get | dataproc.autoscalingPolicies.get |
projects.regions.autoscalingPolicies.list | dataproc.autoscalingPolicies.list |
projects.regions.autoscalingPolicies.update | dataproc.autoscalingPolicies.update |
projects.regions.autoscalingPolicies.delete | dataproc.autoscalingPolicies.delete |
projects.regions.autoscalingPolicies.getIamPolicy | dataproc.autoscalingPolicies.getIamPolicy |
projects.regions.autoscalingPolicies.setIamPolicy | dataproc.autoscalingPolicies.setIamPolicy |
Notes :
- L'autorisation
dataproc.autoscalingPolicies.use
est requise pour activer une règle d'autoscaling sur un cluster avec une requête de méthodeclusters.patch
.
Autorisations des groupes de nœuds
Méthode | Autorisations requises |
---|---|
projects.regions.nodeGroups.create | dataproc.nodeGroups.create |
projects.regions.nodeGroups.get | dataproc.nodeGroups.get |
projects.regions.nodeGroups.resize | dataproc.nodeGroups.update |
Rôles Dataproc
Les rôles IAM Dataproc regroupent une ou plusieurs autorisations.
Vous attribuez des rôles à des utilisateurs ou à des groupes pour leur permettre d'effectuer des actions sur les ressources Dataproc dans un projet. Par exemple, le rôle Lecteur Dataproc comporte les autorisations dataproc.*.get
et dataproc.*.list
, qui permettent à un utilisateur d'obtenir et de répertorier des clusters, des tâches et des opérations Dataproc dans un projet.
Le tableau suivant répertorie les rôles IAM Dataproc et les autorisations associées à chaque rôle :
ID de rôle | Permissions |
---|---|
roles/dataproc.admin | dataproc.*.getIamPolicy dataproc.*.setIamPolicy dataproc.*.create dataproc.*.get dataproc.*.list dataproc.*.delete dataproc.*.update dataproc.clusters.use dataproc.clusters.start dataproc.clusters.stop dataproc.jobs.cancel dataproc.workflowTemplates.instantiate dataproc.workflowTemplates.instantiateInline compute.machineTypes.get compute.machineTypes.list compute.networks.get compute.networks.list compute.projects.get compute.regions.get compute.regions.list compute.zones.get compute.zones.list resourcemanager.projects.get resourcemanager.projects.list |
roles/dataproc.editor | dataproc.*.create dataproc.*.get dataproc.*.list dataproc.*.delete dataproc.*.update dataproc.clusters.use dataproc.clusters.start dataproc.clusters.stop dataproc.jobs.cancel dataproc.workflowTemplates.instantiate dataproc.workflowTemplates.instantiateInline compute.machineTypes.get compute.machineTypes.list compute.networks.get compute.networks.list compute.projects.get compute.regions.get compute.regions.list compute.zones.get compute.zones.list resourcemanager.projects.get resourcemanager.projects.list |
roles/dataproc.viewer | dataproc.*.get dataproc.*.list compute.machineTypes.get compute.regions.get compute.regions.list compute.zones.get resourcemanager.projects.get resourcemanager.projects.list |
roles/dataproc.worker (pour les comptes de service uniquement) | dataproc.agents.* dataproc.tasks.* logging.logEntries.create monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.timeSeries.create storage.buckets.get storage.objects.create storage.objects.get storage.objects.list storage.objects.update storage.objects.delete storage.objects.getIamPolicy storage.objects.setIamPolicy |
Remarques :
- "*" signifie "clusters", "tâches" ou "opérations", sauf que les seules autorisations associées à
dataproc.operations.
sontget
,list
etdelete
. - Les autorisations
compute
répertoriées précédemment sont nécessaires ou recommandées pour créer et afficher des clusters Dataproc lors de l'utilisation de la console Google Cloud ou de la gcloud CLI Google Cloud CLI. - Pour autoriser un utilisateur à télécharger des fichiers, accordez-lui le rôle
Storage Object Creator
(Créateur des objets de l'espace de stockage). Pour autoriser un utilisateur à afficher le résultat de la tâche, accordez-lui le rôleStorage Object Viewer
(Lecteur des objets de l'espace de stockage). - Un utilisateur doit disposer de l'autorisation
monitoring.timeSeries.list
pour pouvoir afficher les graphiques dans l'onglet Présentation de la console Google Cloud → Dataproc → Détails du cluster. - Un utilisateur doit disposer de l'autorisation
compute.instances.list
pour pouvoir afficher l'état de l'instance et le menu SSH de l'instance maître dans la console Google Cloud → Dataproc → Détails du cluster, onglet Instances de VM. Pour en savoir plus sur les rôles Compute Engine, consultez la page Compute Engine → Rôles IAM disponibles. - Pour créer un cluster avec un compte de service spécifié par l'utilisateur, ce compte doit disposer de toutes les autorisations accordées par le rôle
Dataproc Worker
, y compris l'accès aux buckets de préproduction et des buckets temporaires Dataproc. Veuillez indiquer tous les rôles supplémentaires nécessaires aux fonctionnalités de configuration. Pour en savoir plus, consultez la section Créer un cluster avec un compte de service de VM personnalisé.
Rôles au niveau du projet
Il est possible d'obtenir des autorisations au niveau du projet en utilisant les rôles IAM Projet. Le tableau suivant répertorie les autorisations associées aux rôles de projet IAM:
Rôle de projet | Autorisations |
---|---|
Lecteur de projets | Toutes les autorisations de projet pour les actions en lecture seule préservant l'état (get, list) |
Éditeur de projet | Toutes les autorisations lecteur de projet, ainsi que toutes les autorisations de projet pour les actions qui modifient l'état (créer, supprimer, mettre à jour, utiliser, annuler, arrêter, démarrer) |
Propriétaire du projet | Toutes les autorisations de l'éditeur de projet, ainsi que celles permettant de gérer le contrôle d'accès au projet (get / set IamPolicy) et de configurer la facturation du projet |
Récapitulatif des rôles IAM et des opérations Dataproc
Le tableau suivant répertorie les opérations Dataproc associées aux rôles de projet et de Dataproc.
Opération | Éditeur de projet | Lecteur de projet | Administrateur Dataproc | Éditeur Dataproc | Lecteur Dataproc |
---|---|---|---|---|---|
Obtenir/Définir des autorisations IAM Dataproc | Non | Non | Oui | Non | Non |
Créer un cluster | Oui | Non | Oui | Oui | Non |
Répertorier les clusters | Oui | Oui | Oui | Oui | Oui |
Obtenir les détails du cluster | Oui | Oui | Oui 1, 2 | Oui 1, 2 | Oui 1, 2 |
Mettre à jour le cluster | Oui | Non | Oui | Oui | Non |
Supprimer le cluster | Oui | Non | Oui | Oui | Non |
Démarrer/Arrêter le cluster | Oui | Non | Oui | Oui | Non |
Envoyer une tâche | Oui | Non | Oui 3 | Oui 3 | Non |
Répertorier des tâches | Oui | Oui | Oui | Oui | Oui |
Obtenir les détails de la tâche | Oui | Oui | Oui 4 | Oui 4 | Oui 4 |
Annuler la tâche | Oui | Non | Oui | Oui | Non |
Supprimer la tâche | Oui | Non | Oui | Oui | Non |
Répertorier les opérations | Oui | Oui | Oui | Oui | Oui |
Obtenir les détails de l'opération | Oui | Oui | Oui | Oui | Oui |
Supprimer une opération | Oui | Non | Oui | Oui | Non |
Remarques :
- Le graphique de performances n'est pas disponible, à moins que l'utilisateur ne possède également un rôle doté de l'autorisation
monitoring.timeSeries.list
. - La liste des VM du cluster n'inclut pas d'informations sur l'état ni de lien SSH pour l'instance maître, à moins que l'utilisateur ne dispose également d'un rôle doté de l'autorisation
compute.instances.list
. - Les tâches qui importent des fichiers nécessitent que l'utilisateur dispose du rôle
Storage Object Creator
ou d'un accès en écriture au bucket de préproduction Dataproc. - Les résultats des tâches ne sont disponibles que si l'utilisateur dispose également du rôle Observateur d'objets de stockage ou s'il dispose d'un accès en lecture au compartiment de transfert pour le projet.
Comptes de service
Lorsque vous appelez des API Dataproc pour effectuer des actions dans un projet, comme créer des instances de VM, Dataproc effectue les actions en votre nom à l'aide d'un compte de service disposant des autorisations requises pour effectuer ces actions. Pour en savoir plus, consultez la page Comptes de service Dataproc.
Gestion de l'IAM
Vous pouvez obtenir et définir des stratégies IAM à l'aide de la console Google Cloud, de l'API IAM ou de Google Cloud CLI.
- Pour la console Google Cloud, consultez la page Contrôle des accès à l'aide de la console Google Cloud.
- Pour l'API, consultez Contrôle des accès à l'aide de l'API.
- Pour la Google Cloud CLI, consultez la page Contrôle des accès à l'aide de la Google Cloud CLI.
Étapes suivantes
- Apprenez-en plus sur les comptes principaux et les rôles Dataproc.
- En savoir plus sur l'IAM précise Dataproc
- Apprenez-en plus sur IAM.
- En savoir plus sur les comptes de service dans Dataproc