本文介绍如何在指定集群上创建相关服务所需的RAM账号及其相关的操作,目前支持Knox账号和Kerberos账号。
前提条件
Kerberos账号需要在创建集群时开启Kerberos集群模式;或者创建集群后在
集群管理页面,单击
开启 Kerberos开启高安全模式。
高安全模式启动后,高安全集群中的各组件会通过Kerberos进行认证,详细信息请参见Kerberos简介。
创建RAM账号
使用RAM时,您可以创建和管理用户账号(例如员工、系统或应用程序),并可以控制这些用户账号对您名下资源具有的操作权限。创建 RAM 账号的具体操作步骤如下:
- 登录阿里云E-MapReduce控制台。
- 在顶部菜单栏处,根据实际情况选择地域(Region)和资源组。
- 单击上方的集群管理页签。
- 在集群管理页面,单击相应集群所在行的详情。
- 在左侧导航栏中单击用户管理。
- 单击右上角创建RAM子账号跳转到RAM访问控制页面。
通过RAM访问控制,您可以新建用户和用户组、添加权限等。
详情请参见访问控制文档。
添加Knox账号
创建RAM账号后,您可为RAM账号开通Knox账号,具体操作步骤如下:
- 在用户管理页面,在页面上选择需要添加到集群的账号,单击操作列的设置Knox密码。
- 在弹出的设置密码对话框中设置密码和确认密码。
- 单击确定。
- 刷新用户管理页面,查看Knox账号状态。
当
Knox账号列的状态显示
已同步时,表示Knox账号添加成功。添加成功后,您可使用
账号名称及设置的
密码登录Knox。
关于Knox的详细使用说明请参见 Knox使用说明。
删除Knox账号
- 在用户管理页面,在页面上选择需要从集群删除的账号,单击操作列的删除Knox账号。
- 单击确定。
- 刷新用户管理页面,查看Knox删除是否成功。
当Knox账号列的状态显示未同步时,表示Knox账号删除成功。
添加Kerberos账号
创建RAM账号后,您可为RAM账号开通Kerberos账号,具体操作步骤如下:
- 在用户管理页面,在页面上选择需要添加到集群的账号,单击操作列的设置Kerberos密码。
- 在弹出的设置密码对话框中设置密码和确认密码。
- 单击确定。
- 刷新用户管理页面,查看Kerberos账号状态。
当Kerberos账号列的状态显示已同步时,表示Kerberos账号添加成功。
删除Kerberos账号
- 在用户管理页面,在页面上选中需要从集群删除的账号,单击操作列的删除Kerberos账号。
- 单击确定。
- 刷新用户管理页面,查看Kerberos删除是否成功。
当Kerberos账号列的状态显示未同步时,表示Kerberos账号删除成功。
常见问题
不同集群不能共享Knox账号。因为Knox账号是创建在集群中的,所以每个集群的Knox账号不互通。例如,在cluster-1上添加Knox账号A之后,并不会共享给cluster-2。如果需要在cluster-2上使用Knox账号A,则需要在cluster-2上重新添加账号A。