DataWorks:テナントメンバーアカウントと CDH または CDP クラスターアカウント間のマッピングを構成する

マッピングタイプ

DataWorks で CDH クラスターにアクセスし、CDH タスクのコードを実行するために使用されるアカウントは、CDH クラスターを登録するときに指定する [デフォルトのアクセス ID] に基づいて異なります。詳細については、「DataWorks への CDH または CDP クラスターの登録」トピックの「クラスターのデフォルトのアクセス ID を構成する」セクションをご参照ください。次の表では、[デフォルトのアクセス ID] として指定できるアカウントと、サポートされているマッピングタイプについて説明します。

前提条件

• CDH クラスターアカウントが作成されていること。

• Kerberos アカウントマッピングを選択する場合は、CDH クラスターで Kerberos 認証が有効になっていることを確認してください。

• OpenLDAP アカウントを使用する前に、CDH クラスターで OpenLDAP サービスが有効になっていることを確認してください。

• CDH 計算資源が DataWorks ワークスペースに関連付けられていること。

ステップ 1: [アカウントマッピング] タブに移動

1. DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションウィンドウで、[詳細] > [管理センター] を選択します。表示されたページで、ドロップダウンリストから目的のワークスペースを選択し、[管理センターへ] をクリックします。

2. SettingCenter ページの左側のナビゲーションウィンドウで、[計算資源] をクリックします。

3. 管理する CDH クラスターを見つけ、[アカウントマッピング] タブをクリックします。[アカウントマッピング] タブの右上隅にある [アカウントマッピングの編集] をクリックします。

   表示されたページで、DataWorks テナントメンバーの Alibaba Cloud アカウントまたは RAM ユーザーと CDH クラスターアカウント間のマッピングを構成できます。マッピングを構成すると、テナントメンバーはマッピングされたクラスターアカウントの指定された ID を使用して CDH タスクを実行できます。

ステップ 2: テナントメンバーアカウントと CDH クラスターアカウント間のマッピングを構成する

このステップでは、次の操作を実行して、DataWorks で CDH タスクのコードを実行するために使用されるクラスターアカウントを指定できます。

1. マッピングタイプパラメーターを構成します。

   ビジネス要件に基づいて、マッピングタイプパラメーターを [認証なし]、[システムアカウントへのマッピング]、[OpenLDAP アカウントへのマッピング]、または [Kerberos アカウントへのマッピング] に設定できます。詳細については、「マッピングタイプ」をご参照ください。

2. マッピングを構成します。

   指定したマッピングタイプに基づいてマッピングを構成します。

   説明

   マッピングタイプを [認証なし] に設定した場合、マッピングを構成する必要はありません。デフォルトでは、CDH または CDP クラスターを登録するときに構成されたクラスターアカウントが CDH タスクの実行に使用されます。詳細については、「CDH 計算資源の関連付け」セクションをご参照ください。

   システムアカウントマッピング

   画面の指示に従って、Alibaba Cloud アカウントまたは RAM ユーザーと CDH クラスターのシステムアカウント間のマッピングを構成できます。

   • Alibaba Cloud アカウントを使用してタスクを実行: Alibaba Cloud アカウントを選択し、Alibaba Cloud アカウントとシステムアカウント間のマッピングを構成します。

   • RAM ユーザーを使用してタスクを実行: RAM ユーザーを選択し、RAM ユーザーとシステムアカウント間のマッピングを構成します。次のタイプのマッピングがサポートされています。

     • 同名のアカウント間のマッピング: RAM ユーザーと同じアカウント名を持つ CDH クラスターアカウントが RAM ユーザーにマッピングされます。例:

       • RAM ユーザー: ram_user_1@xxx.onaliyun.com

       • RAM ユーザーと同じアカウント名を持つ CDH クラスターアカウント: ram_user_1

       ram_user_1@xxx.onaliyun.com という名前の RAM ユーザーを使用して CDH タスクを実行する場合、タスクは実際には CDH クラスターアカウント ram_user_1 によって実行されます。

       説明

       • RAM ユーザーを使用して DataWorks で CDH タスクを実行する場合、実際には RAM ユーザーと同じアカウント名を持つ CDH クラスターアカウントが CDH クラスターで CDH タスクを実行するために使用されます。RAM ユーザーとは異なるアカウント名を持つ CDH クラスターアカウントを使用して CDH タスクを実行することもできます。

       • タスクの実行が失敗するのを防ぐために、RAM ユーザーと同じアカウント名を持つアカウントが CDH クラスターに存在することを確認してください。そのようなアカウントが存在しない場合は、Cloudera Manager Admin コンソールの CDH クラスター > [ユーザー管理]

     • 異なる名前のアカウント間のマッピング: RAM ユーザーとは異なるアカウント名を持つ CDH クラスターアカウントが RAM ユーザーにマッピングされます。

   Kerberos アカウントマッピング

   Alibaba Cloud アカウントまたは RAM ユーザーと CDH クラスターの Kerberos アカウント間のマッピングを構成できます。Kerberos アカウントは、インスタンス名@ドメイン名 の形式で指定されます。例: cdn_test@HADOOP.COM。

   Kerberos 認証中、keytab ファイルと krb5.conf ファイルが必要です。

   • krb5.conf ファイルは、キー配布センター (KDC) サーバーの構成を保存するために使用されます。

   • keytab ファイルは、リソースプリンシパルの認証資格情報を保存するために使用されます。ファイル名は Kerberos アカウント.keytab 形式である必要があります。

   画面の指示に従って、必要なアカウントを追加し、必要なファイルをアップロードする必要があります。

   説明

   • CDH クラスターの Hive MetaStore で Kerberos 認証が有効になっている場合は、マッピングタイプパラメーターを Kerberos アカウントマッピングに設定します。そうしないと、メタデータ収集に影響します。

   • Presto を使用し、Kerberos アカウントマッピングタイプを選択する場合は、CDH クラスターの [基本情報] タブで Config.Properties ファイルと Presto.Jks ファイルを構成します。

   • CDH クラスターで Kerberos 認証が有効になっていることを確認してください。

   OpenLDAP アカウントマッピング

   画面の指示に従って、Alibaba Cloud アカウントまたは RAM ユーザーと OpenLDAP アカウント間のマッピングを構成できます。

   説明

   • Presto を使用し、OPEN LDAP アカウントマッピングタイプを選択する場合は、CDH クラスターの [基本情報] タブで Config.Properties ファイルと Presto.Jks ファイルを構成します。

   • クラスターで OpenLDAP サービスが有効になっていることを確認してください。

3. [完了] をクリックします。マッピングが構成されます。Alibaba Cloud アカウントまたは RAM ユーザーによって実行されるタスクは、実際には Alibaba Cloud アカウントまたは RAM ユーザーがマッピングされているクラスターアカウントによって実行されます。