IAM用户同步MRS说明
IAM用户同步是指将绑定MRS相关策略的IAM用户同步至MRS系统中,创建同用户名、不同密码的账号,用于集群管理。同步之后,用户可以使用IAM用户名(密码需要Manager的管理员admin重置后方可使用)登录Manager管理集群。也可以在开启Kerberos认证的集群中,通过界面方式提交作业。
IAM用户权限策略及同步MRS后权限对比请参考表1,Manager对应默认权限说明请参考默认权限信息一览。
策略类别 |
IAM策略 |
同步后用户在MRS对应默认权限 |
是否有权限执行同步操作 |
是否有权限提交作业 |
---|---|---|---|---|
细粒度 |
MRS ReadOnlyAccess |
Manager_viewer |
否 |
否 |
MRS CommonOperations |
|
否 |
是 |
|
MRS FullAccess |
|
是 |
是 |
|
RBAC |
MRS Administrator |
|
否 |
是 |
Server Administrator、Tenant Guest和MRS Administrator |
|
是 |
是 |
|
Tenant Administrator |
|
是 |
是 |
|
自定义 |
Custom policy(自定义策略) |
|
|
是 |
为了更方便进行用户权限管理,请尽可能使用细粒度策略,减少RBAC策略的使用,细粒度策略判断action时以deny优先原则。
- 只有具有Tenant Administrator或同时具有Server Administrator、Tenant Guest、MRS Administrator角色才在MRS集群中拥有同步IAM用户的权限。
- 只要拥有action:mrs:cluster:syncUser策略就在MRS集群中拥有同步IAM用户的权限。
操作步骤
- 创建用户并授权使用MRS服务,具体请参考创建MRS操作用户。
- 登录MRS控制台并创建集群,具体请参考创建自定义集群。
- 在左侧导航栏中选择 ,单击集群名称进入集群详情页面。
- 在“概览”页签单击“IAM用户同步”右侧的“单击同步”进行IAM用户同步。
- 在弹窗“IAM用户同步”的“待同步”页面,搜索需要同步IAM用户所在的用户组,单击对应的用户组名称。在“用户”中勾选需要同步的IAM用户,单击“同步”。
- 如需同步所有的用户,在“待同步”中勾选“全部同步”即可。
- 如只勾选“用户组”,该用户组下的用户不会同步,必须勾选“用户组”下对应的用户名称才能同步。
- 在“IAM用户同步”页面会显示所有的用户组,所有灰色不能选择的用户组和用户则不能进行IAM用户同步。
- 同步请求下发后,返回MRS控制台在左侧导航栏中选择“操作日志”页面查看同步是否成功,日志相关说明请参考查看MRS服务操作日志。
- 同步成功后,即可使用IAM同步用户进行后续操作。
- 当IAM用户的用户组的所属策略从MRS ReadOnlyAccess向MRS CommonOperations、MRS FullAccess、MRS Administrator变化时,由于集群节点的SSSD(System Security Services Daemon)缓存刷新需要时间,因此同步完成后,请等待5分钟,等待新修改策略生效之后,再进行提交作业。否则,会出现提交作业失败的情况。
- 当IAM用户的用户组的所属策略从MRS CommonOperations、MRS FullAccess、MRS Administrator向MRS ReadOnlyAccess变化时,由于集群节点的SSSD缓存刷新需要时间,因此同步完成后,请等待5分钟,新修改策略才能生效。
- 单击“IAM用户同步”右侧的“同步”后,集群详情页面会出现短时间空白,这是由于正在进行用户数据同步中,请耐心等待,数据同步完成后,页面将会正常显示。
- 安全集群提交作业:安全集群中用户可通过界面“作业管理”功能提交作业,具体请参考运行MapReduce作业。
- 集群详情页面页签显示完整(包含“组件管理”,“租户管理”和“备份恢复”)。
- 登录Manager页面。
- 使用admin账号登录Manager,具体请参考访问FusionInsight Manager。
- 初始化IAM同步用户密码。
- 修改用户所在用户组绑定的角色,精确控制Manager下用户权限。用户所在用户组绑定的组件角色修改后,权限生效需要一定时间,请耐心等待。
- 使用IAM同步用户及7.b初始化后的密码登录Manager。
当IAM用户权限发生变化时,需要执行4进行二次同步。对于系统用户,二次同步后用户的权限为IAM系统策略定义的权限和用户在Manager自行添加角色的权限的并集。对于自定义用户,二次同步后用户的权限以Manager配置的权限为准。
- 系统用户:如果IAM用户所在用户组全部都绑定系统策略(RABC策略和细粒度策略均属于系统策略),则该用户为系统用户。
- 自定义用户:如果IAM用户所在用户组只要有绑定任何自定义策略,则该用户为自定义用户。
- 取消IAM用户同步。
需要取消某个IAM用户同步时,在“已同步”的“用户”中勾选需要取消的用户名称,单击“取消同步”。
需要取消某个IAM用户组下的所有用户同步时,在“已同步”的“用户组”中勾选需要取消的用户组,单击“取消同步”。