All Products
Search

This Product

    DataWorks:Atur pemetaan identitas kluster

    Document Center

    DataWorks:Atur pemetaan identitas kluster

    Last Updated:Jun 21, 2026

    Setelah mendaftarkan kluster CDH atau CDP di DataWorks, Anda dapat mengonfigurasi pemetaan antara akun Alibaba Cloud anggota ruang kerja dan identitas kluster tertentu. Hal ini memungkinkan anggota ruang kerja mengakses kluster menggunakan identitas yang dipetakan tersebut. Proses konfigurasi untuk kluster CDH dan CDP serupa. Topik ini menggunakan kluster CDH sebagai contoh.

    Jenis pemetaan

    Saat mendaftarkan kluster CDH di DataWorks, Anda dapat menggunakan parameter Default Access Identity untuk menentukan akun yang digunakan menjalankan kode tugas di kluster CDH. Untuk informasi selengkapnya, lihat Konfigurasikan default access identity untuk kluster. Tabel berikut menjelaskan jenis akun dan jenis pemetaan yang dapat Anda konfigurasi untuk parameter Default Access Identity.

    Jenis akun

    Jenis pemetaan

    Akun kluster

    Saat tugas CDH dijalankan di DataWorks, kodenya dijalankan menggunakan akun kluster ini, terlepas dari siapa yang mengirimkan tugas tersebut.

    Sebagai contoh, tugas CDH yang dikirimkan oleh akun Alibaba Cloud, Pengguna RAM dengan peran administrator ruang kerja, atau Pengguna RAM dengan hanya peran developer semuanya dijalankan menggunakan akun kluster yang telah dikonfigurasi.

    No Authentication

    Jika Default Access Identity diatur ke akun kluster, Mapping Type antara akun Alibaba Cloud dan akun kluster secara default menjadi No Authentication.

    Penting

    Jika Anda mengatur Default Access Identity ke akun pemetaan, Anda tidak dapat memilih No Authentication sebagai jenis pemetaan. Jika tidak, tugas CDH akan gagal karena akun Alibaba Cloud tidak memiliki identitas akses. Anda harus memilih Mapping to System Account, Mapping to OpenLDAP Account, atau Mapping to Kerberos Account.

    Akun pemetaan

    Saat anggota ruang kerja yang berbeda menjalankan tugas CDH di DataWorks, tugas tersebut dijalankan menggunakan akun sistem CDH, akun Kerberos, atau akun OPEN LDAP yang dipetakan ke akun Alibaba Cloud mereka (akun Alibaba Cloud atau Pengguna RAM).

    Jika Anda memilih mapping account, Anda harus buka halaman konfigurasi pemetaan akun kluster untuk mengonfigurasi akun CDH yang dipetakan ke setiap akun Alibaba Cloud setelah mendaftarkan kluster CDH.

    Penting

    Tugas CDH yang dikirimkan oleh akun Alibaba Cloud dapat gagal karena tidak adanya identitas akses dalam kasus berikut:

    • Tidak ada akun kluster yang dipetakan ke akun Alibaba Cloud tersebut.

    • Akun kluster dipetakan ke akun Alibaba Cloud, tetapi jenis pemetaannya diatur ke No Authentication.

    Mapping to System Account

    • Anda dapat menentukan pemetaan kustom antara akun Alibaba Cloud dan akun sistem CDH, seperti akun administrator Cloudera Manager atau akun Hadoop. Setelah pemetaan dikonfigurasi, tugas yang dikirimkan oleh akun Alibaba Cloud dijalankan oleh akun sistem yang dipetakan.

    • Gunakan jenis pemetaan ini jika Anda ingin menerapkan isolasi izin data untuk akun Alibaba Cloud yang berbeda dalam kluster CDH.

    Mapping to OpenLDAP Account

    • Anda dapat menentukan pemetaan kustom antara akun Alibaba Cloud dan akun OPEN LDAP CDH. Setelah pemetaan dikonfigurasi, tugas yang dikirimkan oleh akun Alibaba Cloud dijalankan oleh akun OPEN LDAP yang dipetakan.

    • Jika Anda menggunakan komponen Presto dan memilih jenis pemetaan ini, Anda harus mengonfigurasi file Config.Properties dan Presto.Jks di informasi dasar kluster.

      Catatan

      Setelah Anda mengaktifkan autentikasi LDAP pada kluster CDH, pengguna harus memberikan kredensial LDAP, termasuk username dan password, untuk mengakses kluster. Hal ini meningkatkan keamanan.

    Mapping to Kerberos Account

    • Anda dapat menentukan pemetaan kustom antara akun Alibaba Cloud dan akun Kerberos CDH. Setelah pemetaan dikonfigurasi, tugas yang dikirimkan oleh akun Alibaba Cloud dijalankan oleh akun Kerberos yang dipetakan.

    • Anda harus menggunakan jenis pemetaan ini ketika autentikasi Kerberos diaktifkan untuk Hive Metastore di kluster CDH. Jika tidak, pengambilan metadata akan terganggu.

    • Jika Anda menggunakan komponen Presto dan memilih jenis pemetaan ini, Anda harus mengonfigurasi file Config.Properties dan Presto.Jks di informasi dasar kluster.

    • Gunakan jenis pemetaan ini jika Anda ingin menerapkan isolasi izin data untuk akun Alibaba Cloud yang berbeda dalam kluster CDH.

      Catatan

      Kerberos Account adalah akun akses untuk kluster CDH. Akun ini menyediakan otentikasi identitas dan otorisasi untuk mengamankan komunikasi antara pengguna dan layanan dalam kluster. Kluster CDH menggunakan komponen seperti Sentry atau Ranger untuk mengonfigurasi izin berbeda bagi Kerberos Account guna mencapai isolasi izin data. Setelah pemetaan ini dikonfigurasi, Account yang dipetakan ke Kerberos Account mewarisi izin akses data dari Kerberos Account yang dipetakan tersebut di kluster CDH.

    Prasyarat

    • Anda telah membuat akun kluster CDH yang diperlukan.

    • Sebelum menggunakan pemetaan akun Kerberos, pastikan layanan Kerberos telah diaktifkan pada kluster.

    • Sebelum menggunakan pemetaan akun OPEN LDAP, pastikan layanan OPEN LDAP telah diaktifkan pada kluster.

    • Sumber daya komputasi CDH telah ditautkan ke ruang kerja DataWorks.

    Langkah 1: Buka halaman pemetaan akun

    1. Masuk ke Konsol DataWorks. Setelah beralih ke wilayah tujuan, klik More > Management Center di panel navigasi sebelah kiri. Dari daftar tarik-turun, pilih ruang kerja target dan klik Go to Management Center.

    2. Di panel navigasi sebelah kiri, klik Computing Resources untuk membuka halaman sumber daya komputasi.

    3. Di halaman sumber daya komputasi, temukan kluster CDH target dan klik Account Mappings > Edit Account Mapping di bawah nama kluster.

      Di halaman ini, Anda dapat mengonfigurasi pemetaan antara akun Alibaba Cloud di DataWorks dan akun kluster CDH. Hal ini menentukan akun kluster mana yang menjalankan tugas CDH yang dikirimkan oleh akun Alibaba Cloud.

    Langkah 2: Atur pemetaan akun kluster

    Konfigurasi ini menentukan akun kluster mana yang menjalankan kode tugas untuk tugas CDH di DataWorks. Ikuti langkah-langkah berikut:

    1. Pilih jenis pemetaan.

      Anda dapat memilih No Authentication, Mapping to System Account, Mapping to OpenLDAP Account, atau Mapping to Kerberos Account. Untuk informasi selengkapnya, lihat Jenis pemetaan.

    2. Konfigurasikan pemetaan akun kluster.

      Catatan

      Jika Anda memilih No Authentication, Anda tidak perlu mengonfigurasi pemetaan. Platform menjalankan tugas menggunakan akun kluster yang ditentukan dalam informasi dasar saat pendaftaran kluster. Untuk informasi selengkapnya, lihat Bind a CDH computing resource.

      System account mapping

      Untuk memetakan akun Alibaba Cloud (akun Alibaba Cloud atau Pengguna RAM) ke akun sistem kluster CDH, tambahkan informasi akun yang diperlukan.

      • Jalankan tugas menggunakan akun Alibaba Cloud: Pilih akun Alibaba Cloud dan konfigurasikan akun sistem kluster yang dipetakan.

      • Jalankan tugas menggunakan Pengguna RAM: Pilih Pengguna RAM dan konfigurasikan akun sistem kluster yang dipetakan. Dua hubungan pemetaan didukung:

        • Pemetaan nama sama (default): Menjalankan tugas CDH menggunakan akun sistem kluster dengan nama yang sama dengan Pengguna RAM. Contohnya:

          • Pengguna RAM Alibaba Cloud: ram_user_1@xxx.onaliyun.com

          • Akun kluster dengan nama sama: ram_user_1

          Setelah pemetaan ini dikonfigurasi, tugas CDH yang dikirimkan oleh ram_user_1@xxx.onaliyun.com dijalankan sebagai ram_user_1.

          Catatan

          • Secara default, saat Anda menjalankan tugas CDH di DataWorks sebagai Pengguna RAM, DataWorks menjalankan tugas tersebut menggunakan akun sistem kluster yang memiliki nama yang sama. Anda juga dapat memetakan Pengguna RAM ke akun kluster dengan nama berbeda.

          • Untuk mencegah kegagalan tugas, pastikan akun dengan nama yang sama tersedia di kluster CDH. Anda dapat membuka halaman CDH Cluster Management > User Management untuk mengonfigurasi akun tersebut.

        • Pemetaan nama berbeda: Menjalankan tugas CDH menggunakan akun sistem kluster yang memiliki nama berbeda dari Pengguna RAM yang dipetakan. Ikuti petunjuk di layar untuk mengonfigurasi pemetaan tersebut.

      Kerberos account mapping

      Konfigurasikan pemetaan antara akun Alibaba Cloud (akun Alibaba Cloud atau Pengguna RAM) dan akun Kerberos CDH. Akun Kerberos menggunakan format instance_name@REALM_NAME, misalnya cdn_test@HADOOP.COM.

      Otentikasi Kerberos memerlukan file keytab file dan file krb5.conf:

      • File krb5.conf menyimpan konfigurasi server Key Distribution Center (KDC).

      • File keytab file menyimpan kredensial otentikasi dari principal resource. Nama file harus mengikuti format Kerberos account.keytab.

      Tambahkan informasi akun yang diperlukan dan unggah file yang diminta sesuai petunjuk di halaman.

      Catatan

      • Anda harus menggunakan jenis pemetaan ini ketika otentikasi Kerberos diaktifkan untuk Hive Metastore di kluster CDH. Jika tidak, pengambilan metadata akan terganggu.

      • Jika Anda menggunakan komponen Presto dan memilih jenis pemetaan ini, Anda harus mengonfigurasi file Config.Properties dan Presto.Jks di informasi dasar kluster.

      • Pastikan layanan Kerberos telah diaktifkan pada kluster.

      OPEN LDAP account mapping

      Konfigurasikan pemetaan antara akun Alibaba Cloud (akun Alibaba Cloud atau Pengguna RAM) dan akun OPEN LDAP CDH. Tambahkan informasi akun yang diperlukan sesuai petunjuk di halaman.

      Catatan

      • Jika Anda menggunakan komponen Presto dan memilih jenis pemetaan ini, Anda harus mengonfigurasi file Config.Properties dan Presto.Jks di informasi dasar kluster.

      • Pastikan layanan OPEN LDAP telah diaktifkan pada kluster.

    3. Klik Complete Modification untuk menyelesaikan konfigurasi. Tugas yang dikirimkan oleh akun Alibaba Cloud kemudian akan dijalankan menggunakan akun kluster yang dipetakan.