默认权限信息一览
角色
|
默认角色 |
描述 |
|---|---|
|
Manager_administrator |
Manager管理员,具有Manager所有权限。 可创建一级租户,可创建、修改新的用户组,指定用户权限,以满足不同用户对系统的管理需求。 |
|
Manager_operator |
Manager操作员,具有主页、集群、主机、运维页签所有权限。 |
|
Manager_auditor |
Manager审计员,具有审计页签的所有权限。 可查看和管理Manager系统审计日志的权限。 |
|
Manager_viewer |
Manager查看员,具有主页、集群、主机、告警与事件、系统>权限相关信息的查看权限和下载客户端权限。 |
|
Manager_tenant |
Manager租户管理员。 可为当前用户所属于的非叶子租户创建子租户并管理。具有“运维 > 告警”页面下“告警”、“事件”的查看权限。 |
|
System_administrator |
系统管理员,具有Manager的管理员权限及所有组件服务管理员的权限。 |
|
default |
为集群default租户创建的默认角色。拥有Yarn组件default队列的管理权限。非首个安装集群的default租户默认角色为“c<集群ID>_default”。 |
|
Manager_administrator_180 |
FusionInsight Manager系统管理员组。系统内部角色,仅限组件间内部使用。 |
|
Manager_auditor_181 |
FusionInsight Manager系统审计员组。系统内部角色,仅限组件间内部使用。 |
|
Manager_operator_182 |
FusionInsight Manager系统操作员组。系统内部角色,仅限组件间内部使用。 |
|
Manager_viewer_183 |
FusionInsight Manager系统查看员组。系统内部角色,仅限组件间内部使用。 |
|
System_administrator_186 |
系统管理员组。系统内部角色,仅限组件间内部使用。 |
|
Manager_tenant_187 |
租户系统用户组。系统内部角色,仅限组件间内部使用。 |
|
default_1000 |
为租户创建的用户组。系统内部角色,仅限组件间内部使用。 |
用户组
|
类型 |
默认用户组 |
描述 |
|---|---|---|
|
集群默认用户组 |
cdl |
CDL的普通用户组,属于该组的用户可以执行CDL的创建和查询操作。 |
|
cdladmin |
CDL的管理员用户组,只有此组中的用户才可以访问CDL的API。 |
|
|
elasticsearch |
添加到该用户组的用户可以使用Elasticsearch。 |
|
|
graphbaseadmin |
GraphBase管理员用户组。添加入本组的用户,拥有GraphBase和Graphserver的管理权限。 |
|
|
graphbasedeveloper |
GraphBase开发者用户组。添加入本组的用户,拥有GraphBase和Graphserver的开发权限。 |
|
|
graphbaseoperator |
GraphBase操作者用户组。加入该用户组的用户拥有登录GraphServer界面查看数据的权限。 |
|
|
hadoop |
将用户加入此用户组,可获得所有Yarn队列的任务提交权限。 |
|
|
hadoopmanager |
将用户加入此用户组,可获得HDFS和Yarn的组件运维管理员权限。对HDFS来说,运维管理员可以访问NameNode WebUI,还能进行手动主备倒换等操作。对Yarn来说,运维管理员可以执行Yarn集群的管理操作,例如访问ResourceManager WebUI,管理NodeManager节点,刷新队列,设置NodeLabel等,但不能提交任务。 |
|
|
hetuadmin |
HetuEngine管理员用户组,属于该组的用户拥有在HSConsole页面操作的权限。 |
|
|
hetuuser |
将用户加入此用户组,可获得SQL执行权限。 |
|
|
hive/hive1/hive2/hive3/hive4 |
普通用户组。Hive/Hive1/Hive2/Hive3/Hive4用户必须属于该用户组。 |
|
|
iotdbgroup |
将用户加入此用户组,可获得IoTDB组件的管理员权限。 |
|
|
kafka |
Kafka普通用户组。添加入本组的用户,需要被kafkaadmin组用户授予特定Topic的读写权限,才能访问对应Topic。 |
|
|
kafkaadmin |
Kafka管理员用户组。添加入本组的用户,拥有所有Topic的创建,删除,授权及读写权限。 |
|
|
kafkasuperuser |
Kafka的Topic读写用户组。添加入本组的用户,拥有所有Topic的读写权限。 |
|
|
kafkaui |
Kafka UI用户组。添加入本组的用户,拥有Kafka UI的查看权限。 |
|
|
kmsadmin |
将用户加入此用户组,可获得KMS服务中所有key的读权限。 |
|
|
lakesearchgroup |
将用户加入此用户组,可获得LakeSearch组件的管理员权限。 |
|
|
msadmin |
将用户加入此用户组,可获得MetaStore的管理员权限。 |
|
|
rkmsadmin |
RangerKMS权限管理用户组,如果需要key的管理权限需要将用户加入此组。 |
|
|
solr |
添加到该用户组的用户可以使用Solr。 |
|
|
supergroup |
这个用户组内的用户具有HBase,HDFS,Solr,Redis和Yarn的管理员权限,并且可以使用Hive。 |
|
|
yarnviewgroup |
Yarn任务只读用户组。将用户加入此用户组,可获得Yarn和Mapreduce界面上任务的只读权限。 |
|
|
check_sec_ldap |
用于内部测试主LDAP是否工作正常。用户组随机存在,每次测试时创建,测试完成后自动删除。系统内部组,仅限组件间内部使用。 |
|
|
compcommon |
系统内部组,用于访问集群公共资源。所有系统用户和系统运行用户默认加入此用户组。 |
|
|
操作系统默认用户组 |
wheel |
系统内部运行用户“omm”的主组。 |
|
ficommon |
系统公共组,对应“compcommon”,可以访问集群在操作系统中保存的公共资源文件。 |
如果当前集群不是在FusionInsight Manager内第一次安装的集群,集群内除Manager以外其他组件对应的默认用户组名称为“c<集群ID>_默认用户组名”,例如“c2_hadoop”。
服务相关用户安全参数
- FTP-Server
- 参数“ftp-group”表示允许连接FTP-Server的普通用户所属的用户组,若用户未加入对应的用户组则无法连接。默认值为“hadoop”。
- 参数“ftp-admin-group”表示FTP-Server的管理员用户所属的用户组,若用户未加入对应的用户组则无法操作其他用户的目录和文件。默认值为“supergroup”。
- HDFS
参数“dfs.permissions.superusergroup”表示HDFS最高权限管理员组,默认值为“supergroup”。
- Spark以及对应多实例
参数“spark.admin.acls”表示Spark的管理员列表,列表中成员有权限管理所有Spark任务,若用户未加入此列表则无法管理所有Spark任务。默认值为“admin”。
