概述
实际业务处理场景中,经常遇到需要将BMR集群资源及集群中的数据、服务等在多个组织及部门间共享的场景,需要能够做到集群中细粒度的计算资源及访问权限管控。 对于云上资源(集群、作业)粒度的管理,请参见多用户访问控制。 用户管理功能提供了BMR集群中从账号、认证、授权、审计四个纬度的统一安全方案,满足企业级细粒度多租户及安全管控需求。并且支持与IAM账号做关联打通,易于使用。
管理BMR账号
BMR账号是BMR集群中LDAP、Kerberos、Linux、Ranger等几个模块的打通的同用户名的身份集合。
说明
- BMR账号所关联的身份会根据集群中实际启动的组件情况决定。
- 启动Kerberos,请参见集群安全模式。
- LDAP为默认启动组件,当前已支持hadoop、hbase模版。
- Ranger为创建集群时的可选组件。
- 在“产品服务->MapReduce-集群列表”页,点击集群名称,进入该集群的集群详情页。
- 在集群详情页,点击左侧“用户管理”按钮,管理BMR账号。
- 点击“添加BMR账号”,可以选择已有的IAM子用户,为该用户创建集群中同用户名的BMR账号。
- 点击“修改”,可以修改BMR账号的密码及备注信息。
- 点击“下载keytab”,可以下载该账号对应的keytab,用作集群中提交作业时使用。
- 点击“删除”,可以删除该BMR账号。
- 点击表格右上角“去Ranger配置权限”,为创建的BMR账号配置在集群中的组件及数据访问权限。请注意,若不配置权限,默认无法使用组件及访问数据。Ranger的初始账号密码为admin、rangeradmin123,请管理员用户及时修改密码。
说明
- 开启Ranger的情况下,需要为创建的BMR账号在Ranger中设置相关策略,否则无法在console以及集群中提交作业等。Ranger配置详情请查看Ranger配置。
- 只有admin账号才可在Ranger中为其他BMR账号配置权限,请注意及时修改并保存好密码。
- 若在多用户访问控制中,将IAM子用户的状态设置为“禁用”,则该IAM子用户关联的BMR账号无法进行任何操作。
