用户管理 - 集群管理| 阿里云

本文介绍如何通过E-MapReduce（简称EMR）的用户管理功能，管理集群中的EMR用户。

前提条件

已创建集群，详情请参见创建集群。
已创建RAM用户，详情请参见创建RAM用户。

说明因为在E-MapReduce用户管理中添加的用户，只能是与RAM用户同名的EMR用户，所以需要先创建RAM用户。

EMR用户信息存储在集群自带的OpenLDAP中，主要用于在E-MapReduce集群内的身份认证。

EMR用户可以用于访问链接与端口，查看开源组件Web UI时的用户身份认证，也可以在开启组件LDAP认证之后进行身份认证。如果将Ranger的用户源设置为LDAP，则可以对用户管理中的用户进行权限控制。如果是高安全集群，EMR用户可以用于Kinit操作。

用户管理中的EMR用户以列表的形式来进行展示和操作。根据登录EMR控制台的RAM用户权限的不同，使用E-MapReduce用户管理模块的RAM用户分两类：

管理员：主账号或者拥有emr:ManageUserPlatform权限（例如系统策略AliyunEMRFullAccess）的RAM账号。管理员可以查看集群中所有用户列表，并对所有用户执行重置密码、删除、修改备注、下载认证凭据（高安全集群）操作，也可以添加用户。
普通用户：拥有其他权限策略（例如系统策略AliyunEMRDevelopAccess）的RAM账号。普通用户只能在用户列表中查看与自己同名的EMR用户，并只能进行重置密码、修改备注和下载认证凭据（高安全集群）操作，不能添加和删除用户。

注意如果当前用户使用的是RAM账号，则添加用户时需要该RAM账号拥有ram:ListUsers的权限。您可以使用主账号在访问控制台上给该RAM账号添加AliyunRAMReadOnlyAccess系统策略，或者自定义权限策略并添加ram:ListUsers权限。

在用户管理页面，单击更新，用于刷新由于网络延迟导致的未及时生效的用户管理操作，也可以用于同步直接添加的OpenLDAP用户至用户管理中。

主要面向自建LDAP且开启高安全的集群的场景。在用户管理页面，单击右上角的Linux用户管理，您可以添加和删除Linux用户。

添加Linux用户时会自动为每台主机上创建指定名称的Linux用户，此后扩容的机器上也会有这个用户。

用户管理中的用户只在当前集群中生效，所以每个集群的EMR用户不互通。例如，在cluster-1上添加EMR用户A之后，并不会共享给cluster-2。如果需要在cluster-2上使用EMR用户A，则需要在cluster-2上重新添加用户A。