本文介绍如何在指定集群上创建相关服务所需的RAM账号及其相关的操作,目前支持Knox账号和Kerberos账号。

前提条件

Kerberos账号需要在创建集群时开启Kerberos集群模式;或者创建集群后在集群管理页面,单击开启 Kerberos开启高安全模式。

高安全模式启动后,高安全集群中的各组件会通过Kerberos进行认证,详细信息请参见Kerberos简介

创建RAM账号

使用RAM时,您可以创建和管理用户账号(例如员工、系统或应用程序),并可以控制这些用户账号对您名下资源具有的操作权限。创建 RAM 账号的具体操作步骤如下:

  1. 登录阿里云E-MapReduce控制台
  2. 在顶部菜单栏处,选择地域(Region)。
  3. 单击上方的集群管理页签。
  4. 集群管理页面,单击相应集群所在行的详情
  5. 在左侧导航栏中单击用户管理
  6. 单击右上角创建RAM子账号跳转到RAM访问控制页面。
    通过RAM访问控制,您可以新建用户和用户组、添加权限等。详情请参见访问控制文档。

添加Knox账号

创建RAM账号后,您可为RAM账号开通Knox账号,具体操作步骤如下:

  1. 用户管理页面,在页面上选择需要添加到集群的账号,单击操作列的设置Knox密码
  2. 在弹出的设置密码对话框中设置密码确认密码
  3. 单击确定
  4. 刷新用户管理页面,查看Knox账号状态。
    Knox账号列的状态显示已同步时,表示Knox账号添加成功。添加成功后,您可使用账号名称及设置的密码登录Knox。

    关于Knox的详细使用说明请参见 Knox使用说明

删除Knox账号

  1. 用户管理页面,在页面上选择需要从集群删除的账号,单击操作列的删除Knox账号
  2. 单击确定
  3. 刷新用户管理页面,查看Knox删除是否成功。
    当Knox账号列的状态显示未同步时,表示Knox账号删除成功。

添加Kerberos账号

创建RAM账号后,您可为RAM账号开通Kerberos账号,具体操作步骤如下:

  1. 用户管理页面,在页面上选择需要添加到集群的账号,单击操作列的设置Kerberos密码
  2. 在弹出的设置密码对话框中设置密码确认密码
  3. 单击确定
  4. 刷新用户管理页面,查看Kerberos账号状态。
    Kerberos账号列的状态显示已同步时,表示Kerberos账号添加成功。

删除Kerberos账号

  1. 用户管理页面,在页面上选中需要从集群删除的账号,单击操作列的删除Kerberos账号
  2. 单击确定
  3. 刷新用户管理页面,查看Kerberos删除是否成功。
    当Kerberos账号列的状态显示未同步时,表示Kerberos账号删除成功。

常见问题

不同集群不能共享Knox账号。因为Knox账号是创建在集群中的,所以每个集群的Knox账号不互通。例如,在cluster-1上添加Knox账号A之后,并不会共享给cluster-2。如果需要在cluster-2上使用Knox账号A,则需要在cluster-2上重新添加账号A。