创建角色
操作场景
该任务指导MRS集群管理员用户在Manager创建角色,并对Manager和组件进行授权管理。
Manager支持的角色数为1000。
该章节操作仅适用于MRS 3.x之前版本集群。
MRS 3.x及之后版本集群请参考角色管理章节。
前提条件
- MRS集群管理员用户已明确业务需求。
- 开启Kerberos认证的集群或开启弹性公网IP功能的普通集群。
操作步骤
- 访问MRS Manager,详细操作请参见访问Manager。
- 在MRS Manager,选择“系统设置 > 角色管理”。
- 单击“添加角色”,然后在“角色名称”和“描述”输入角色名字与描述。
“角色名称”为必选参数,字符长度为3到30,可以包含数字、字母和下划线。“描述”为可选参数。
- 设置角色“权限”。
- 单击“服务名称”,并选择一个“视图名称”。
- 勾选一个或多个权限。
- “权限”为可选参数。
- 在选择“视图”设置组件的权限时,可通过右上角的“搜索”框输入资源名称,然后单击显示搜索结果。
- 搜索范围仅包含当前权限目录,无法搜索子目录。搜索关键字支持模糊搜索,不区分大小写。支持搜索下一页的结果。
表1 Manager权限描述 支持权限管理的资源
权限设置说明
“Alarm”
Manager告警功能授权,勾选“View”表示可以查看告警,勾选“Management”表示可以管理告警。
“Audit”
Manager审计日志功能授权,勾选“View”表示可以查看审计,勾选“Management”表示可以管理审计。
“Dashboard”
Manager概览功能授权,勾选“View”表示可以查看集群概览。
“Hosts”
Manager集群节点管理功能授权,勾选“View”表示可以查看节点,勾选“Management”表示可以管理节点。
“Services”
MRS集群服务管理功能授权,勾选“View”表示可以查看服务,勾选“Management”表示可以管理服务。
“System_cluster_management”
MRS集群管理授权,勾选“Management”表示可以使用MRS补丁管理功能。
“System_configuration”
MRS集群配置功能授权,勾选“Management”表示可以使用Manager配置MRS集群。
“System_task”
MRS集群任务功能授权,勾选“Management”表示可以使用Manager管理MRS集群的周期任务。
“Tenant”
Manager多租户管理功能授权,勾选“Management”表示可以查看Manager的租户管理页面。
表2 HBase权限描述 支持权限管理的资源
权限设置说明
“SUPER_USER_GROUP”
选中时表示授予HBase管理员权限。
“Global”
HBase的一种资源类型,表示HBase整体组件。
“Namespace”
HBase的一种资源类型,表示命名空间,用来保存HBase表。具体权限:
- “Admin”:表示管理此命名空间的权限。
- “Create”:表示在此命名空间创建HBase表的权限。
- “Read”:表示访问此命名空间的权限。
- “Write”:表示写入此命名空间数据的权限。
- “Execute”:表示可执行协处理器(Endpoint)的权限。
“Table”
HBase的一种资源类型,表示数据表,用来保存数据。具体权限:
- “Admin”:表示管理此数据表的权限。
- “Create”:表示在此数据表创建列族和列的权限。
- “Read”:表示读取数据表的权限。
- “Write”:表示写入数据到表的权限。
- “Execute”:表示可执行协处理器(Endpoint)的权限。
“ColumnFamily”
HBase的一种资源类型,表示列族,用来保存数据。具体权限:
- “Create”:表示在此列族创建列的权限。
- “Read”:表示读取列族的权限。
- “Write”:表示写入数据到列族的权限。
“Qualifier”
HBase的一种资源类型,表示列,用来保存数据。具体权限:
- “Read”:表示读取列的权限。
- “Write”:表示写入数据到列的权限。
HBase中每一级资源类型的权限默认会传递到下级资源类型,但“递归”选项没有默认勾选。例如命名空间“default”添加了“Read”和“Write”权限,则命名空间中的表、列族和列自动添加该权限。若设置父资源后,再手动设置子资源,则子资源的权限取父资源与当前子资源设置的并集。
表3 HDFS权限描述 支持权限管理的资源
权限设置说明
“Folder”
HDFS的一种资源类型,表示HDFS目录,可以保存文件或子目录。具体权限:
- “Read”:表示访问此HDFS目录的权限。
- “Write”:表示在此HDFS目录写入数据的权限。
- “Execute”:表示执行操作的权限。在添加访问或写入权限必须同时勾选。
“Files”
HDFS的一种资源类型,表示HDFS中的文件。具体权限:
- “Read”:表示访问此文件的权限。
- “Write”:表示写入此文件的权限。
- “Execute”:表示执行操作的权限。在添加访问或写入权限必须同时勾选。
HDFS中每一级目录的权限默认不会传递到下级目录类型。例如目录“tmp”添加了“Read”和“Execute”,需要同时勾选“递归”才能为子目录添加权限。
表4 Hive权限描述 支持权限管理的资源
权限设置说明
“Hive Admin Privilege”
选中时表示授予Hive管理员权限。
“Database”
Hive的一种资源类型,表示Hive数据库,用来保存Hive表。具体权限:
- “Select”:表示查询Hive数据库的权限。
- “Delete”:表示在Hive数据库执行删除操作的权限。
- “Insert”:表示在Hive数据库执行插入操作的权限。
- “Create”:表示在Hive数据库执行创建操作的权限。
“Table”
Hive的一种资源类型,表示Hive表,用来保存数据。具体权限:
- “Select”:表示查询Hive表的权限。
- “Delete”:表示在Hive表执行删除操作的权限。
- “Update”:表示为角色添加Hive表的“Update”权限。
- “Insert”:表示在Hive表执行插入操作的权限。
- “Grant of Select”:选中表示属于此角色的用户可以使用Hive语句为其他用户添加“Select”权限。
- “Grant of Delete”:选中表示属于此角色的用户可以使用Hive语句为其他用户添加“Delete”权限。
- “Grant of Update”:选中表示属于此角色的用户可以使用Hive语句为其他用户添加“Update”权限。
- “Grant of Insert”:选中表示属于此角色的用户可以使用Hive语句为其他用户添加“Insert”权限。
Hive中每一级资源类型的权限默认会传递到下级资源类型,但“递归”选项没有默认勾选。例如数据库“default”添加了“Select”和“Insert”权限,则数据库中的表和列自动添加该权限。若设置父资源后,再手动设置子资源,则子资源的权限取父资源与当前子资源设置的并集。
表5 YARN权限描述 支持权限管理的资源
权限设置说明
“Cluster Admin Operations”
选中时表示授予YARN管理员权限。
“root”
YARN的根队列。具体权限:
- “Submit”:表示在队列提交作业的权限。
- “Admin”:表示管理当前队列的权限。
“Parent Queue”
YARN的一种资源类型,表示父队列,可以包含子队列。根队列也属于父队列的一种。具体权限:
- “Submit”:表示在队列提交作业的权限。
- “Admin”:表示管理当前队列的权限。
“Leaf Queue”
YARN的一种资源类型,表示叶子队列。具体权限:
- “Submit”:表示在队列提交作业的权限。
- “Admin”:表示管理当前队列的权限。
YARN中每一级资源类型的权限默认会传递到下级资源类型,但“递归”选项没有默认勾选。例如队列“root”添加了“Submit”权限,则子队列自动添加该权限。子队列继承的权限不在“权限”表格显示被选中。若设置父资源后,再手动设置子资源,则子资源的权限取父资源与当前子资源设置的并集。
表6 Hue权限描述 支持权限管理的资源
权限设置说明
“Storage Policy Admin”
选中时表示授予Hue中存储策略管理员权限。
- 单击“确定”完成,返回“角色管理”。
相关任务
修改角色
- 在MRS Manager,单击“系统设置”。
- 在“权限配置”区域,单击“角色管理”。
- 在要修改角色所在的行,单击“修改”,修改角色信息。
修改角色分配的权限,最长可能需要3分钟时间生效。
- 单击“确定”完成修改操作。
删除角色
- 在MRS Manager,单击“系统设置”。
- 在“权限配置”区域,单击“角色管理”。
- 在要删除角色所在的行,单击“删除”。
- 单击“确定”完成删除操作。