更新时间:2023-03-17 GMT+08:00

创建角色

操作场景

该任务指导管理员用户在Manager创建角色,并对Manager和组件进行授权管理。

Manager支持的角色数为1000。

该章节操作仅适用于MRS 3.x之前版本集群。

MRS 3.x及之后版本集群请参考角色管理章节。

前提条件

  • 管理员用户已明确业务需求。
  • 开启Kerberos认证的集群或开启弹性公网IP功能的普通集群。

操作步骤

  1. 访问MRS Manager,详细操作请参见访问MRS Manager(MRS 2.x及之前版本)
  2. 在MRS Manager,选择“系统设置 > 角色管理”。
  3. 单击“添加角色”,然后在“角色名称”和“描述”输入角色名字与描述。

    “角色名称”为必选参数,字符长度为3到30,可以包含数字、字母和下划线。“描述”为可选参数。

  4. 设置角色“权限”。

    1. 单击“服务名称”,并选择一个“视图名称”。
    2. 勾选一个或多个权限。
    • “权限”为可选参数。
    • 在选择“视图”设置组件的权限时,可通过右上角的“搜索”框输入资源名称,然后单击显示搜索结果。
    • 搜索范围仅包含当前权限目录,无法搜索子目录。搜索关键字支持模糊搜索,不区分大小写。支持搜索下一页的结果。
    表1 Manager权限描述

    支持权限管理的资源

    权限设置说明

    “Alarm”

    Manager告警功能授权,勾选“View”表示可以查看告警,勾选“Management”表示可以管理告警。

    “Audit”

    Manager审计日志功能授权,勾选“View”表示可以查看审计,勾选“Management”表示可以管理审计。

    “Dashboard”

    Manager概览功能授权,勾选“View”表示可以查看集群概览。

    “Hosts”

    Manager集群节点管理功能授权,勾选“View”表示可以查看节点,勾选“Management”表示可以管理节点。

    “Services”

    MRS集群服务管理功能授权,勾选“View”表示可以查看服务,勾选“Management”表示可以管理服务。

    “System_cluster_management”

    MRS集群管理授权,勾选“Management”表示可以使用MRS补丁管理功能。

    “System_configuration”

    MRS集群配置功能授权,勾选“Management”表示可以使用Manager配置MRS集群。

    “System_task”

    MRS集群任务功能授权,勾选“Management”表示可以使用Manager管理MRS集群的周期任务。

    “Tenant”

    Manager多租户管理功能授权,勾选“Management”表示可以查看Manager的租户管理页面。

    表2 HBase权限描述

    支持权限管理的资源

    权限设置说明

    “SUPER_USER_GROUP”

    选中时表示授予HBase管理员权限。

    “Global”

    HBase的一种资源类型,表示HBase整体组件。

    “Namespace”

    HBase的一种资源类型,表示命名空间,用来保存HBase表。具体权限:

    • “Admin”:表示管理此命名空间的权限。
    • “Create”:表示在此命名空间创建HBase表的权限。
    • “Read”:表示访问此命名空间的权限。
    • “Write”:表示写入此命名空间数据的权限。
    • “Execute”:表示可执行协处理器(Endpoint)的权限。

    “Table”

    HBase的一种资源类型,表示数据表,用来保存数据。具体权限:

    • “Admin”:表示管理此数据表的权限。
    • “Create”:表示在此数据表创建列族和列的权限。
    • “Read”:表示读取数据表的权限。
    • “Write”:表示写入数据到表的权限。
    • “Execute”:表示可执行协处理器(Endpoint)的权限。

    “ColumnFamily”

    HBase的一种资源类型,表示列族,用来保存数据。具体权限:

    • “Create”:表示在此列族创建列的权限。
    • “Read”:表示读取列族的权限。
    • “Write”:表示写入数据到列族的权限。

    “Qualifier”

    HBase的一种资源类型,表示列,用来保存数据。具体权限:

    • “Read”:表示读取列的权限。
    • “Write”:表示写入数据到列的权限。

    HBase中每一级资源类型的权限默认会传递到下级资源类型,但“递归”选项没有默认勾选。例如命名空间“default”添加了“Read”“Write”权限,则命名空间中的表、列族和列自动添加该权限。若设置父资源后,再手动设置子资源,则子资源的权限取父资源与当前子资源设置的并集。

    表3 HDFS权限描述

    支持权限管理的资源

    权限设置说明

    “Folder”

    HDFS的一种资源类型,表示HDFS目录,可以保存文件或子目录。具体权限:

    • “Read”:表示访问此HDFS目录的权限。
    • “Write”:表示在此HDFS目录写入数据的权限。
    • “Execute”:表示执行操作的权限。在添加访问或写入权限必须同时勾选。

    “Files”

    HDFS的一种资源类型,表示HDFS中的文件。具体权限:

    • “Read”:表示访问此文件的权限。
    • “Write”:表示写入此文件的权限。
    • “Execute”:表示执行操作的权限。在添加访问或写入权限必须同时勾选。

    HDFS中每一级目录的权限默认不会传递到下级目录类型。例如目录“tmp”添加了“Read”“Execute”,需要同时勾选“递归”才能为子目录添加权限。

    表4 Hive权限描述

    支持权限管理的资源

    权限设置说明

    “Hive Admin Privilege”

    选中时表示授予Hive管理员权限。

    “Database”

    Hive的一种资源类型,表示Hive数据库,用来保存Hive表。具体权限:

    • “Select”:表示查询Hive数据库的权限。
    • “Delete”:表示在Hive数据库执行删除操作的权限。
    • “Insert”:表示在Hive数据库执行插入操作的权限。
    • “Create”:表示在Hive数据库执行创建操作的权限。

    “Table”

    Hive的一种资源类型,表示Hive表,用来保存数据。具体权限:

    • “Select”:表示查询Hive表的权限。
    • “Delete”:表示在Hive表执行删除操作的权限。
    • “Update”:表示为角色添加Hive表的“Update”权限。
    • “Insert”:表示在Hive表执行插入操作的权限。
    • “Grant of Select”:选中表示属于此角色的用户可以使用Hive语句为其他用户添加“Select”权限。
    • “Grant of Delete”:选中表示属于此角色的用户可以使用Hive语句为其他用户添加“Delete”权限。
    • “Grant of Update”:选中表示属于此角色的用户可以使用Hive语句为其他用户添加“Update”权限。
    • “Grant of Insert”:选中表示属于此角色的用户可以使用Hive语句为其他用户添加“Insert”权限。

    Hive中每一级资源类型的权限默认会传递到下级资源类型,但“递归”选项没有默认勾选。例如数据库“default”添加了“Select”“Insert”权限,则数据库中的表和列自动添加该权限。若设置父资源后,再手动设置子资源,则子资源的权限取父资源与当前子资源设置的并集。

    表5 YARN权限描述

    支持权限管理的资源

    权限设置说明

    “Cluster Admin Operations”

    选中时表示授予YARN管理员权限。

    “root”

    YARN的根队列。具体权限:

    • “Submit”:表示在队列提交作业的权限。
    • “Admin”:表示管理当前队列的权限。

    “Parent Queue”

    YARN的一种资源类型,表示父队列,可以包含子队列。根队列也属于父队列的一种。具体权限:

    • “Submit”:表示在队列提交作业的权限。
    • “Admin”:表示管理当前队列的权限。

    “Leaf Queue”

    YARN的一种资源类型,表示叶子队列。具体权限:

    • “Submit”:表示在队列提交作业的权限。
    • “Admin”:表示管理当前队列的权限。

    YARN中每一级资源类型的权限默认会传递到下级资源类型,但“递归”选项没有默认勾选。例如队列“root”添加了“Submit”权限,则子队列自动添加该权限。子队列继承的权限不在“权限”表格显示被选中。若设置父资源后,再手动设置子资源,则子资源的权限取父资源与当前子资源设置的并集。

    表6 Hue权限描述

    支持权限管理的资源

    权限设置说明

    “Storage Policy Admin”

    选中时表示授予Hue中存储策略管理员权限。

  5. 单击“确定”完成,返回“角色管理”。

相关任务

修改角色

  1. 在MRS Manager,单击“系统设置”。
  2. 在“权限配置”区域,单击“角色管理”。
  3. 在要修改角色所在的行,单击“修改”,修改角色信息。

    修改角色分配的权限,最长可能需要3分钟时间生效。

  4. 单击“确定”完成修改操作。

删除角色

  1. 在MRS Manager,单击“系统设置”。
  2. 在“权限配置”区域,单击“角色管理”。
  3. 在要删除角色所在的行,单击“删除”
  4. 单击“确定”完成删除操作。