IAM用户同步是指将绑定MRS相关策略的IAM用户同步至MRS系统中,创建同用户名、不同密码的帐号,用于集群管理。同步之后,用户可以使用IAM用户名(密码需要Manager的管理员admin重置后方可使用)登录Manager管理集群。也可以在开启Kerberos认证的集群中,通过界面方式提交作业。
IAM用户权限策略及同步MRS后权限对比请参考下表,Manager对应默认权限说明请参考MRS集群中的用户与权限。
IAM权限策略与MRS权限同步映射
| 策略类别 | IAM策略 | 同步后用户在MRS对应默认权限 | 是否有权限执行同步操作 | 是否有权限提交作业 |
|---|---|---|---|---|
| 细粒度 | MRS ReadOnlyAccess | Manager_viewer | 否 | 否 |
| 细粒度 | MRS CommonOperations | lManager_viewer default launcher-job |
否 | 是 |
| 细粒度 | MRS FullAccess | Manager_administrator Manager_auditor Manager_operator Manager_tenant Manager_viewer System_administrator default launcher-job |
是 | 是 |
| RBAC | MRS Administrator | Manager_administrator Manager_auditor Manager_operator Manager_tenant Manager_viewer System_administrator default launcher-job |
否 | 是 |
| RBAC | Server Administrator、Tenant Guest和MRS Administrator | Manager_administrator Manager_auditor Manager_operator Manager_tenant Manager_viewer System_administrator default launcher-job |
是 | 是 |
| RBAC | Tenant Administrator | Manager_administrator Manager_auditor Manager_operator Manager_tenant Manager_viewer System_administrator default launcher-job |
是 | 是 |
| 自定义 | Custom policy(自定义策略) | Manager_viewer default launcher-job |
自定义策略以RBAC策略为模板则参考RBAC策略。 自定义策略以细粒度策略为模板则参考细粒度策略,建议使用细粒度策略。 |
是 |
说明为了更方便进行用户权限管理,请尽可能使用细粒度策略,减少RBAC策略的使用,细粒度策略判断action时以deny优先原则。
只有具有Tenant Administrator或同时具有Server Administrator、Tenant Guest、MRS Administrator角色才在MRS集群中拥有同步IAM用户的权限。
只要拥有action:mrs:cluster:syncUser策略就在MRS集群中拥有同步IAM用户的权限。
操作步骤
1.创建用户并授权使用MRS服务,具体请参考创建MRS操作用户。
2.登录MRS控制台并创建集群,具体请参考创建自定义集群。
3.在左侧导航栏中选择“集群列表 > 现有集群”,单击集群名称进入集群详情页面。
4.在“概览”页签的基本信息区域,单击“IAM用户同步”右侧的“单击同步”进行IAM用户同步。
5.同步请求下发后,返回MRS控制台在左侧导航栏中选择“操作日志”页面查看同步是否成功,日志相关说明请参考查看MRS服务操作日志。
6.同步成功后,即可使用IAM同步用户进行后续操作。
说明l 当IAM用户的用户组的所属策略从MRS ReadOnlyAccess向MRS CommonOperations、MRS FullAccess、MRS Administrator变化时,由于集群节点的SSSD(System Security Services Daemon)缓存刷新需要时间,因此同步完成后,请等待5分钟,等待新修改策略生效之后,再进行提交作业。否则,会出现提交作业失败的情况。
l 当IAM用户的用户组的所属策略从MRS CommonOperations、MRS FullAccess、MRS Administrator向MRS ReadOnlyAccess变化时,由于集群节点的SSSD缓存刷新需要时间,因此同步完成后,请等待5分钟,新修改策略才能生效。
l 单击“IAM用户同步”右侧的“同步”后,集群详情页面会出现短时间空白,这是由于正在进行用户数据同步中,请耐心等待,数据同步完成后,页面将会正常显示。
l 安全集群提交作业:安全集群中用户可通过界面“作业管理”功能提交作业,具体请参考运行MapReduce作业。
l 集群详情页面页签显示完整(包含“组件管理”,“租户管理”和“备份恢复”)。
l 登录Manager页面。
a. 使用admin帐号登录Manager,具体请参考访问集群Manager。
b. 初始化IAM同步用户密码,具体请参考初始化系统用户密码。
c. 修改用户所在用户组绑定的角色,精确控制Manager下用户权限,具体请参考创建任务组中的相关任务修改用户组绑定的角色,如需创建修改角色请参考创建角色。用户所在用户组绑定的组件角色修改后,权限生效需要一定时间,请耐心等待。
d. 使用IAM同步用户及步骤6.b初始化后的密码登录Manager。
