Имперсонация в Metastore

Имперсонация позволяет кластеру Metastore взаимодействовать с ресурсами в облаке от имени сервисного аккаунта.

По умолчанию кластер Metastore не имеет доступа к пользовательским ресурсам. Чтобы обеспечить доступ к таким ресурсам, создайте сервисный аккаунт с нужными ролями и привяжите его к кластеру Metastore при создании кластера. После этого Metastore сможет взаимодействовать с пользовательскими ресурсами, так как авторизация происходит от имени сервисного аккаунта.

Набор ролей для сервисного аккаунта зависит от того, с каким сервисом вы планируете использовать Metastore. Например, чтобы настроить экспорт логов кластера в Yandex Cloud Logging, нужна роль logging.writer, а чтобы использовать дашборды Yandex Monitoring — monitoring.editor.

При создании сервисного аккаунта для Metastore рекомендуется использовать роль managed-metastore.integrationProvider, так как она уже включает в себя роли logging.writer и monitoring.editor. Подробнее о возможностях роли см. в справочнике.