本文为您介绍如何通过E-MapReduce(简称EMR)的用户管理功能,管理集群中的EMR用户。

背景信息

EMR用户信息存储在集群自带的OpenLDAP中,主要用于E-MapReduce集群内的身份认证。

EMR用户可以用于访问链接与端口,查看开源组件Web UI时的用户身份认证,也可以在开启组件LDAP认证之后进行身份认证。如果将Ranger的用户源设置为LDAP,则可以对用户管理中的用户进行权限控制。如果是高安全集群,EMR用户可以用于Kinit操作。

用户管理中的EMR用户以列表的形式进行展示和操作。根据登录EMR控制台的RAM用户权限的不同,可以将使用E-MapReduce用户管理模块的RAM用户分为两类:
  • 管理员:阿里云账号或者拥有emr:ManageUserPlatform权限(例如系统策略AliyunEMRFullAccess)的RAM用户。管理员可以查看集群中所有用户列表,并对所有用户执行重置密码、删除、修改备注、下载认证凭据(高安全集群)操作,也可以添加用户。
  • 普通用户:拥有其他权限策略(例如系统策略AliyunEMRDevelopAccess)的RAM用户。普通用户只能在用户列表中查看与自己同名的EMR用户,并只能进行重置密码、修改备注和下载认证凭据(高安全集群)操作,不能添加和删除用户。

前提条件

  • 已创建集群,详情请参见创建集群
  • 已创建RAM用户,详情请参见创建RAM用户
    说明 因为在E-MapReduce用户管理中添加的用户需要与RAM用户同名,因此需要先创建RAM用户。

使用限制

仅Hadoop集群、Data Science集群和Druid集群,支持用户管理功能。

添加用户

注意 如果当前用户使用的是RAM用户,则添加用户时需要该RAM用户拥有ram:ListUsers的权限。您可以使用阿里云账号在访问控制台上给该RAM用户添加AliyunRAMReadOnlyAccess系统策略,或者自定义权限策略并添加ram:ListUsers权限。
  1. 进入集群详情页面。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击相应集群所在行的详情
  2. 在左侧导航栏,单击用户管理
  3. 用户管理页面,单击添加用户
  4. 添加用户对话框的用户名下拉列表中,选择已有的RAM用户作为EMR用户的名称,输入密码确认密码
  5. 单击确定

删除用户

  1. 进入集群详情页面。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击相应集群所在行的详情
  2. 在左侧导航栏,单击用户管理
  3. 用户管理页面,单击目标用户所在行的删除
  4. 删除对话框中,单击确定

重置用户密码

您可以修改已添加用户的密码。
注意 重置密码可能导致正在运行的任务失败。
  1. 进入集群详情页面。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击相应集群所在行的详情
  2. 在左侧导航栏,单击用户管理
  3. 用户管理页面,单击目标用户所在行的重置密码
  4. 设置密码对话框中,输入新的密码确认密码
  5. 单击确定

下载认证凭据

注意 下载认证凭据功能仅支持开启高安全的集群,通过该功能,您可以下载目标用户的Keytab文件。
  1. 进入集群详情页面。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击相应集群所在行的详情
  2. 在左侧导航栏,单击用户管理
  3. 用户管理页面,单击目标用户所在行的下载认证凭据

更新用户

用于刷新由于网络延迟导致的未及时生效的用户管理操作,也可以用于将直接添加的OpenLDAP用户同步至用户管理中。

用户管理页面,单击更新,更新用户。

管理Linux用户

主要面向自建LDAP且开启高安全的集群的场景。添加Linux用户时,EMR会自动为每台主机创建指定名称的Linux用户,此后扩容的机器上也会有这个用户。

  1. 用户管理页面,单击右上角的Linux用户管理
  2. 添加用户输入框中,输入用户名称,多个用户通过分号(;)分隔。
  3. 单击添加

常见问题

Q:不同集群中的用户是互通的吗?

A:不互通。因为用户管理中的用户只在当前集群中生效,所以每个集群的EMR用户不互通。例如,在cluster-1上添加EMR用户A之后,并不会共享给cluster-2。如果需要在cluster-2上使用EMR用户A,则需要在cluster-2上重新添加用户A。