如何管理集群中的EMR用户_开源大数据平台 E-MapReduce-阿里云帮助中心

背景信息

EMR用户信息存储在集群自带的OpenLDAP中，主要用于E-MapReduce集群内的身份认证。

EMR用户可以用于访问链接与端口，查看开源组件Web UI时的用户身份认证，也可以在开启组件LDAP认证之后进行身份认证。如果将Ranger的用户源设置为LDAP，则可以对用户管理中的用户进行权限控制。如果是高安全集群，EMR用户可以用于Kinit操作。

用户管理中的EMR用户以列表的形式进行展示和操作。根据登录EMR控制台的RAM用户权限的不同，可以将使用E-MapReduce用户管理模块的RAM用户分为两类：

管理员：阿里云账号或者拥有emr:ManageUserPlatform（例如系统策略AliyunEMRFullAccess）和emr:CreateLdapUser权限的RAM用户。管理员可以查看集群中所有用户列表，并对所有用户执行重置密码、删除、修改备注、下载认证凭据（高安全集群）操作，也可以添加用户。
普通用户：拥有其他权限策略（例如系统策略AliyunEMRDevelopAccess）的RAM用户。普通用户只能在用户列表中查看与自己同名的EMR用户，并只能进行重置密码、修改备注和下载认证凭据（高安全集群）操作，不能添加和删除用户。

仅Hadoop集群、Data Science集群、Flink集群、EMR Studio集群、Presto集群和Druid集群，支持用户管理功能。

注意如果当前用户使用的是RAM用户，则添加用户时需要该RAM用户拥有ram:ListUsers的权限。您可以使用阿里云账号在访问控制台上给该RAM用户添加AliyunRAMReadOnlyAccess系统策略，或者自定义权限策略并添加ram:ListUsers权限。

进入集群详情页面。
1. 登录阿里云E-MapReduce控制台。
2. 在顶部菜单栏处，根据实际情况选择地域和资源组。
3. 单击上方的集群管理页签。
4. 在集群管理页面，单击相应集群所在行的详情。
在左侧导航栏，单击用户管理。
在用户管理页面，单击添加用户。
在添加用户对话框的用户名下拉列表中，选择已有的RAM用户作为EMR用户的名称，输入密码和确认密码。
单击确定。

进入集群详情页面。
1. 登录阿里云E-MapReduce控制台。
2. 在顶部菜单栏处，根据实际情况选择地域和资源组。
3. 单击上方的集群管理页签。
4. 在集群管理页面，单击相应集群所在行的详情。
在左侧导航栏，单击用户管理。
在用户管理页面，单击目标用户所在行的删除。
在删除对话框中，单击确定。

您可以修改已添加用户的密码。

注意重置密码可能导致正在运行的任务失败。

进入集群详情页面。
1. 登录阿里云E-MapReduce控制台。
2. 在顶部菜单栏处，根据实际情况选择地域和资源组。
3. 单击上方的集群管理页签。
4. 在集群管理页面，单击相应集群所在行的详情。
在左侧导航栏，单击用户管理。
在用户管理页面，单击目标用户所在行的重置密码。
在设置密码对话框中，输入新的密码和确认密码。
单击确定。

注意下载认证凭据功能仅支持开启高安全的集群，通过该功能，您可以下载目标用户的Keytab文件。

进入集群详情页面。
1. 登录阿里云E-MapReduce控制台。
2. 在顶部菜单栏处，根据实际情况选择地域和资源组。
3. 单击上方的集群管理页签。
4. 在集群管理页面，单击相应集群所在行的详情。
在左侧导航栏，单击用户管理。
在用户管理页面，单击目标用户所在行的下载认证凭据。

用于刷新由于网络延迟导致的未及时生效的用户管理操作，也可以用于将直接添加的OpenLDAP用户同步至用户管理中。

在用户管理页面，单击更新，更新用户。

主要面向自建LDAP且开启高安全的集群的场景。添加Linux用户时，EMR会自动为每台主机创建指定名称的Linux用户，此后扩容的机器上也会有这个用户。

Q：不同集群中的用户是互通的吗？

A：不互通。因为用户管理中的用户只在当前集群中生效，所以每个集群的EMR用户不互通。例如，在cluster-1上添加EMR用户A之后，并不会共享给cluster-2。如果需要在cluster-2上使用EMR用户A，则需要在cluster-2上重新添加用户A。