本文为您介绍如何通过E-MapReduce(简称EMR)的用户管理功能,管理集群中的EMR用户。
背景信息
EMR用户信息存储在集群自带的OpenLDAP中,主要用于E-MapReduce集群内的身份认证。
EMR用户可以用于访问链接与端口,查看开源组件Web UI时的用户身份认证,也可以在开启组件LDAP认证之后进行身份认证。如果将Ranger的用户源设置为LDAP,则可以对用户管理中的用户进行权限控制。如果是高安全集群,EMR用户可以用于Kinit操作。
用户管理中的EMR用户以列表的形式进行展示和操作。根据登录EMR控制台的RAM用户权限的不同,可以将使用E-MapReduce用户管理模块的RAM用户分为两类:
- 管理员:阿里云账号或者拥有emr:ManageUserPlatform权限(例如系统策略AliyunEMRFullAccess)的RAM用户。管理员可以查看集群中所有用户列表,并对所有用户执行重置密码、删除、修改备注、下载认证凭据(高安全集群)操作,也可以添加用户。
- 普通用户:拥有其他权限策略(例如系统策略AliyunEMRDevelopAccess)的RAM用户。普通用户只能在用户列表中查看与自己同名的EMR用户,并只能进行重置密码、修改备注和下载认证凭据(高安全集群)操作,不能添加和删除用户。
前提条件
使用限制
仅Hadoop集群、Data Science集群和Druid集群,支持用户管理功能。
添加用户
注意 如果当前用户使用的是RAM用户,则添加用户时需要该RAM用户拥有ram:ListUsers的权限。您可以使用阿里云账号在访问控制台上给该RAM用户添加AliyunRAMReadOnlyAccess系统策略,或者自定义权限策略并添加ram:ListUsers权限。
- 进入集群详情页面。
- 登录阿里云E-MapReduce控制台。
- 在顶部菜单栏处,根据实际情况选择地域和资源组。
- 单击上方的集群管理页签。
- 在集群管理页面,单击相应集群所在行的详情。
- 在左侧导航栏,单击用户管理。
- 在用户管理页面,单击添加用户。
- 在添加用户对话框的用户名下拉列表中,选择已有的RAM用户作为EMR用户的名称,输入密码和确认密码。
- 单击确定。
删除用户
- 进入集群详情页面。
- 登录阿里云E-MapReduce控制台。
- 在顶部菜单栏处,根据实际情况选择地域和资源组。
- 单击上方的集群管理页签。
- 在集群管理页面,单击相应集群所在行的详情。
- 在左侧导航栏,单击用户管理。
- 在用户管理页面,单击目标用户所在行的删除。
- 在删除对话框中,单击确定。
重置用户密码
您可以修改已添加用户的密码。
注意 重置密码可能导致正在运行的任务失败。
- 进入集群详情页面。
- 登录阿里云E-MapReduce控制台。
- 在顶部菜单栏处,根据实际情况选择地域和资源组。
- 单击上方的集群管理页签。
- 在集群管理页面,单击相应集群所在行的详情。
- 在左侧导航栏,单击用户管理。
- 在用户管理页面,单击目标用户所在行的重置密码。
- 在设置密码对话框中,输入新的密码和确认密码。
- 单击确定。
下载认证凭据
注意 下载认证凭据功能仅支持开启高安全的集群,通过该功能,您可以下载目标用户的Keytab文件。
- 进入集群详情页面。
- 登录阿里云E-MapReduce控制台。
- 在顶部菜单栏处,根据实际情况选择地域和资源组。
- 单击上方的集群管理页签。
- 在集群管理页面,单击相应集群所在行的详情。
- 在左侧导航栏,单击用户管理。
- 在用户管理页面,单击目标用户所在行的下载认证凭据。
更新用户
用于刷新由于网络延迟导致的未及时生效的用户管理操作,也可以用于将直接添加的OpenLDAP用户同步至用户管理中。
在用户管理页面,单击更新,更新用户。
管理Linux用户
主要面向自建LDAP且开启高安全的集群的场景。添加Linux用户时,EMR会自动为每台主机创建指定名称的Linux用户,此后扩容的机器上也会有这个用户。
- 在用户管理页面,单击右上角的Linux用户管理。
- 在添加用户输入框中,输入用户名称,多个用户通过分号(;)分隔。
- 单击添加。
常见问题
Q:不同集群中的用户是互通的吗?
A:不互通。因为用户管理中的用户只在当前集群中生效,所以每个集群的EMR用户不互通。例如,在cluster-1上添加EMR用户A之后,并不会共享给cluster-2。如果需要在cluster-2上使用EMR用户A,则需要在cluster-2上重新添加用户A。