本文介绍如何通过E-MapReduce(简称EMR)的用户管理功能,管理集群中的EMR用户。
前提条件
背景信息
EMR用户可以用于访问链接与端口,查看开源组件Web UI时的用户身份认证,也可以在开启组件LDAP认证之后进行身份认证。如果将Ranger的用户源设置为LDAP,则可以对用户管理中的用户进行权限控制。如果是高安全集群,EMR用户可以用于Kinit操作。
用户分类
用户管理中的EMR用户以列表的形式来进行展示和操作。根据登录EMR控制台的RAM用户权限的不同,使用E-MapReduce用户管理模块的RAM用户分两类:
- 管理员:主账号或者拥有emr:ManageUserPlatform权限(例如系统策略AliyunEMRFullAccess)的RAM账号。管理员可以查看集群中所有用户列表,并对所有用户执行重置密码、删除、修改备注、下载认证凭据(高安全集群)操作,也可以添加用户。
- 普通用户:拥有其他权限策略(例如系统策略AliyunEMRDevelopAccess)的RAM账号。普通用户只能在用户列表中查看与自己同名的EMR用户,并只能进行重置密码、修改备注和下载认证凭据(高安全集群)操作,不能添加和删除用户。
添加用户
注意 如果当前用户使用的是RAM账号,则添加用户时需要该RAM账号拥有ram:ListUsers的权限。您可以使用主账号在访问控制台上给该RAM账号添加AliyunRAMReadOnlyAccess系统策略,或者自定义权限策略并添加ram:ListUsers权限。
- 登录阿里云E-MapReduce控制台。
- 在顶部菜单栏处,根据实际情况选择地域(Region)和资源组。
- 单击上方的集群管理页签。
- 在集群管理页面,单击相应集群所在行的详情。
- 在左侧导航栏,单击用户管理。
- 在用户管理页面,单击添加用户。
- 在添加用户对话框中,从用户名下拉列表,选择已有的RAM账号作为EMR用户的名称,设置密码和确认密码。
- 单击确定。
操作用户
- 重置密码:您可以修改已添加用户的密码。
注意 重置密码可能导致正在运行的任务失败。
- 下载认证凭证:仅支持开启高安全的集群。您可以下载该用户的Ktab。
- 删除:您可以删除已添加的用户。
更新用户
在用户管理页面,单击更新,用于刷新由于网络延迟导致的未及时生效的用户管理操作,也可以用于同步直接添加的OpenLDAP用户至用户管理中。
管理Linux用户
主要面向自建LDAP且开启高安全的集群的场景。在用户管理页面,单击右上角的Linux用户管理,您可以添加和删除Linux用户。
添加Linux用户时会自动为每台主机上创建指定名称的Linux用户,此后扩容的机器上也会有这个用户。
常见问题
用户管理中的用户只在当前集群中生效,所以每个集群的EMR用户不互通。例如,在cluster-1上添加EMR用户A之后,并不会共享给cluster-2。如果需要在cluster-2上使用EMR用户A,则需要在cluster-2上重新添加用户A。