本文为您介绍E-MapReduce(简称EMR)中Alluxio服务权限相关的内容,包括认证(Authentication),授权(Authorization)和审计(Audit),并介绍如何开启授权和审计。

前提条件

已创建集群,并选择了Alluxio服务,详情请参见创建集群

认证

认证用于确认访问者的身份信息。

EMR中的Alluxio服务支持SIMPLE、NOSASL和CUSTOM三种认证方式。默认为SIMPLE认证方式,以便用于日志审计。

在SIMPLE认证方式下,客户端访问Alluxio服务时,会从操作系统获取当前的登录用户,一起发送请求到服务端,供服务端进行身份标识。如果客户端设置了alluxio.security.login.username参数,客户端将使用对应的配置作为请求服务端的用户。如果是创建目录或文件请求,该用户信息会保存在元数据中。Alluxio支持修改认证方式,修改后需要重启服务生效,详细信息请参见Alluxio文档

开启授权

授权是验证用户是否有权限对文件和目录进行操作。Alluxio为POSIX权限模型,Alluxio服务会根据认证中提供的用户信息判断允许或拒绝用户的访问请求。

EMR中的Alluxio默认不开启授权,您可以通过以下方式开启授权。

  1. 进入Alluxio页面。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击相应集群所在行的详情
    5. 在左侧导航栏,选择集群服务 > Alluxio
  2. 在Alluxio服务页面,单击配置页签。
  3. 开启授权。
    1. 在配置搜索中,输入配置项alluxio.security.authorization.permission.enabled,单击search图标。
    2. 设置参数alluxio.security.authorization.permission.enabled的值为true
      authorization
    3. 单击保存
    4. 确认修改页面,输入执行原因,单击确定
  4. 重启服务。
    1. 单击右上角的操作 > 重启All Components
    2. 执行集群操作页面,输入执行原因,单击确定
    3. 确认对话框中,单击确定

开启审计

Alluxio服务支持通过审计日志,查看和跟踪用户对文件元数据的访问操作。Alluxio服务的审计日志存储在/mnt/disk1/log/alluxio/master_audit.log中。

EMR中的Alluxio默认不开启审计功能,您可以通过以下方式开启审计功能。

  1. 进入Alluxio页面。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击相应集群所在行的详情
    5. 在左侧导航栏,选择集群服务 > Alluxio
  2. 在Alluxio服务页面,单击配置页签。
  3. 开启审计功能。
    1. 在配置搜索中,输入配置项alluxio.master.audit.logging.enabled,单击search图标。
    2. 设置参数alluxio.master.audit.logging.enabled的值为true
      audit
    3. 单击保存
    4. 确认修改页面,输入执行原因,单击确定
  4. 重启服务。
    1. 单击右上角的操作 > 重启All Components
    2. 执行集群操作页面,输入执行原因,单击确定
    3. 确认对话框中,单击确定