Sincronización de usuarios de IAM a MRS
La sincronización de usuarios de IAM es para sincronizar los usuarios de IAM vinculados con las políticas de MRS con el sistema de MRS y crear cuentas con los mismos nombres de usuario pero diferentes contraseñas que los usuarios de IAM. A continuación, puede utilizar un nombre de usuario de IAM (la contraseña debe ser restablecida por el usuario admin de Manager) para iniciar sesión en Manager para la gestión de clústeres y enviar trabajos en la GUI en un clúster con autenticación de Kerberos habilitada.
Tabla 1 compara las políticas de permisos de los usuarios de IAM y los permisos de los usuarios sincronizados en MRS. Para obtener más información sobre los permisos predeterminados en Manager, consulte Información de permisos predeterminados.
Tipo de política |
Política de IAM |
Permisos predeterminados del usuario en MRS después de la sincronización |
Tener permiso para realizar la sincronización |
Tener permiso para enviar trabajos |
---|---|---|---|---|
Grano fino |
MRS ReadOnlyAccess |
Manager_viewer |
No |
No |
MRS CommonOperations |
|
No |
Yes |
|
MRS FullAccess |
|
Sí |
Sí |
|
RBAC |
MRS Administrator |
|
No |
Sí |
Server Administrator, Tenant Guest, y MRS Administrator |
|
Sí |
Sí |
|
Tenant Administrator |
|
Sí |
Sí |
|
Custom |
Custom policy |
|
|
Sí |
Para facilitar la gestión de permisos de usuario, utilice políticas detalladas en lugar de políticas de RBAC. En las políticas de grano fino, la acción Deny tiene prioridad sobre otras acciones.
- Un usuario tiene permiso para sincronizar usuarios de IAM solo cuando el usuario tiene el rol de Tenant Administrator o tiene los roles Server Administrator, Tenant Guest, y MRS Administrator al mismo tiempo.
- Un usuario con la política action:mrs:cluster:syncUser tiene permiso para sincronizar usuarios de IAM.
Procedimiento
- Crear un usuario y autorizar al usuario a utilizar MRS. Para más detalles, consulte Creación de un usuario de MRS.
- Inicie sesión en la consola de gestión de MRS y cree un clúster. Para obtener más información, consulte Compra de un clúster personalizado.
- En el panel de navegación de la izquierda, elija . Haga clic en el nombre del clúster para ir a la página de detalles del clúster.
- En la página de pestaña Dashboard, haga clic en Click to synchronize junto a IAM User Sync para sincronizar los usuarios de IAM.
- Después de enviar una solicitud de sincronización, elija Operation Logs en el panel de navegación izquierdo de la consola de MRS para comprobar si la sincronización se realiza correctamente. Para obtener más información sobre los registros, consulte Consulta de registros de operaciones de MRS.
- Una vez que la sincronización se realiza correctamente, utilice el usuario sincronizado con IAM para realizar operaciones posteriores.
- Cuando la política del grupo de usuarios al que pertenece el usuario de IAM cambie de MRS ReadOnlyAccess a MRS CommonOperations, MRS FullAccess o MRS Administrator, espere 5 minutos hasta que la nueva política entre en vigor una vez completada la sincronización porque la caché SSSD (System Security Services Daemon) de los nodos del clúster necesita tiempo para actualizarse. Luego, envíe un trabajo. De lo contrario, es posible que el trabajo no se envíe.
- Cuando la política del grupo de usuarios al que pertenece el usuario de IAM cambie de MRS CommonOperations, MRS FullAccess o MRS Administrator a MRS ReadOnlyAccess, espere 5 minutos hasta que la nueva política surta efecto una vez completada la sincronización porque la caché SSSD de los nodos del clúster necesita tiempo para actualizarse.
- Después de hacer clic en Synchronize en el lado derecho de IAM User Sync, la página de detalles del clúster queda en blanco durante un corto período de tiempo, porque se sincronizan los datos del usuario. La página se mostrará correctamente una vez completada la sincronización de datos.
- Enviar trabajos en un clúster de seguridad: Los usuarios pueden enviar trabajos mediante la función de gestión de trabajos en la GUI del clúster de seguridad. Para obtener más información, consulte Ejecución de un trabajo de MapReduce.
- Todas las pestañas se muestran en la página de detalles del clúster, incluidos Components, Tenants y Backups & Restorations.
- Iniciar sesión en Manager
- Inicie sesión en Manager como usuario admin. Para obtener más información, consulte Acceder a Manager.
- Inicialice la contraseña del usuario sincronizado con IAM. Para obtener más información, véase Inicialización de la contraseña de un usuario del sistema.
- Modifique el rol enlazado al grupo de usuarios al que pertenece el usuario para controlar los permisos de usuario en Manager. Para más detalles, consulte Tareas relacionadas. Para obtener más información acerca de cómo crear y modificar un rol, consulte Creación de un rol. Después de modificar el rol de componente enlazado al grupo de usuarios al que pertenece el usuario, los permisos de rol tardan algún tiempo en surtir efecto.
- Inicie sesión en el Manager con el usuario sincronizado con IAM y la contraseña después de la inicialización de 6.b.
Si cambia el permiso del usuario de IAM, vaya a 4 para realizar una segunda sincronización. Después de la segunda sincronización, los permisos de un usuario del sistema son la unión de los permisos definidos en la política del sistema de IAM y los permisos de los roles agregados por el usuario del sistema en Manager. Después de la segunda sincronización, los permisos de un usuario personalizado están sujetos a los permisos configurados en Manager.
- Usuario del sistema: si todos los grupos de usuarios a los que pertenece un usuario de IAM están enlazados a políticas del sistema (las políticas RABC y las políticas detalladas pertenecen a políticas del sistema), el usuario de IAM es un usuario del sistema.
- Usuario personalizado: si el grupo de usuarios al que pertenece un usuario de IAM está enlazado a cualquier política personalizada, el usuario de IAM es un usuario personalizado.