本文介绍如何通过E-MapReduce(简称EMR)的用户管理功能,管理集群中的EMR用户。

前提条件

  • 已创建集群,详情请参见创建集群
  • 已创建RAM用户,详情请参见创建RAM用户
    说明 因为在E-MapReduce用户管理中添加的用户,只能是与RAM用户同名的EMR用户,所以需要先创建RAM用户。

背景信息

EMR用户信息存储在集群自带的OpenLDAP中,主要用于在E-MapReduce集群内的身份认证。

EMR用户可以用于访问链接与端口,查看开源组件Web UI时的用户身份认证,也可以在开启组件LDAP认证之后进行身份认证。如果将Ranger的用户源设置为LDAP,则可以对用户管理中的用户进行权限控制。如果是高安全集群,EMR用户可以用于Kinit操作。

用户分类

用户管理中的EMR用户以列表的形式来进行展示和操作。根据登录EMR控制台的RAM用户权限的不同,使用E-MapReduce用户管理模块的RAM用户分两类:
  • 管理员:主账号或者拥有emr:ManageUserPlatform权限(例如系统策略AliyunEMRFullAccess)的RAM账号。管理员可以查看集群中所有用户列表,并对所有用户执行重置密码、删除、修改备注、下载认证凭据(高安全集群)操作,也可以添加用户。
  • 普通用户:拥有其他权限策略(例如系统策略AliyunEMRDevelopAccess)的RAM账号。普通用户只能在用户列表中查看与自己同名的EMR用户,并只能进行重置密码、修改备注和下载认证凭据(高安全集群)操作,不能添加和删除用户。

添加用户

注意 如果当前用户使用的是RAM账号,则添加用户时需要该RAM账号拥有ram:ListUsers的权限。您可以使用主账号在访问控制台上给该RAM账号添加AliyunRAMReadOnlyAccess系统策略,或者自定义权限策略并添加ram:ListUsers权限。
  1. 登录阿里云E-MapReduce控制台
  2. 在顶部菜单栏处,根据实际情况选择地域(Region)和资源组
  3. 单击上方的集群管理页签。
  4. 集群管理页面,单击相应集群所在行的详情
  5. 在左侧导航栏,单击用户管理
  6. 用户管理页面,单击添加用户
    1. 添加用户对话框中,从用户名下拉列表,选择已有的RAM账号作为EMR用户的名称,设置密码确认密码
    2. 单击确定

操作用户

  • 重置密码:你可以修改已添加用户的密码。
    注意 重置密码可能导致正在运行的任务失败。
  • 下载认证凭证:仅支持开启高安全的集群。您可以下载该用户的Ktab。
  • 删除:您可以删除已添加的用户。

更新用户

用户管理页面,单击更新,用于刷新由于网络延迟导致的未及时生效的用户管理操作,也可以用于同步直接添加的OpenLDAP用户至用户管理中。

管理Linux用户

主要面向自建LDAP且开启高安全的集群的场景。在用户管理页面,单击右上角的Linux用户管理,您可以添加和删除Linux用户。

添加Linux用户时会自动为每台主机上创建指定名称的Linux用户,此后扩容的机器上也会有这个用户。

常见问题

用户管理中的用户只在当前集群中生效,所以每个集群的EMR用户不互通。例如,在cluster-1上添加EMR用户A之后,并不会共享给cluster-2。如果需要在cluster-2上使用EMR用户A,则需要在cluster-2上重新添加用户A。