更新时间:2024-11-29 GMT+08:00

IAM用户同步MRS说明

IAM用户同步是指将绑定MRS相关策略的IAM用户同步至MRS系统中,创建同用户名、不同密码的账号,用于集群管理。同步之后,用户可以使用IAM用户名(密码需要Manager的管理员admin重置后方可使用)登录Manager管理集群。也可以在开启Kerberos认证的集群中,通过界面方式提交作业。

IAM用户权限策略及同步MRS后权限对比请参考表1,Manager对应默认权限说明请参考默认权限信息一览

表1 IAM权限策略与MRS权限同步映射

策略类别

IAM策略

同步后用户在MRS对应默认权限

是否有权限执行同步操作

是否有权限提交作业

细粒度

MRS ReadOnlyAccess

Manager_viewer

MRS CommonOperations

  • Manager_viewer
  • default
  • launcher-job

MRS FullAccess

  • Manager_administrator
  • Manager_auditor
  • Manager_operator
  • Manager_tenant
  • Manager_viewer
  • System_administrator
  • default
  • launcher-job

RBAC

MRS Administrator

  • Manager_administrator
  • Manager_auditor
  • Manager_operator
  • Manager_tenant
  • Manager_viewer
  • System_administrator
  • default
  • launcher-job

Server Administrator、Tenant Guest和MRS Administrator

  • Manager_administrator
  • Manager_auditor
  • Manager_operator
  • Manager_tenant
  • Manager_viewer
  • System_administrator
  • default
  • launcher-job

Tenant Administrator

  • Manager_administrator
  • Manager_auditor
  • Manager_operator
  • Manager_tenant
  • Manager_viewer
  • System_administrator
  • default
  • launcher-job

自定义

Custom policy(自定义策略)

  • Manager_viewer
  • default
  • launcher-job
  • 自定义策略以RBAC策略为模板则参考RBAC策略。
  • 自定义策略以细粒度策略为模板则参考细粒度策略,建议使用细粒度策略。

为了更方便进行用户权限管理,请尽可能使用细粒度策略,减少RBAC策略的使用,细粒度策略判断action时以deny优先原则。

  • 只有具有Tenant Administrator或同时具有Server Administrator、Tenant Guest、MRS Administrator角色才在MRS集群中拥有同步IAM用户的权限。
  • 只要拥有action:mrs:cluster:syncUser策略就在MRS集群中拥有同步IAM用户的权限。

操作步骤

  1. 创建用户并授权使用MRS服务,具体请参考创建MRS操作用户
  2. 登录MRS控制台并创建集群,具体请参考创建自定义集群
  3. 在左侧导航栏中选择集群列表 > 现有集群,单击集群名称进入集群详情页面。
  4. “概览”页签单击“IAM用户同步”右侧的“单击同步”进行IAM用户同步。
  5. 在弹窗“IAM用户同步”的“待同步”页面,搜索需要同步IAM用户所在的用户组,单击对应的用户组名称。在“用户”中勾选需要同步的IAM用户,单击“同步”。

    • 如需同步所有的用户,在“待同步”中勾选“全部同步”即可。
    • 如只勾选“用户组”,该用户组下的用户不会同步,必须勾选“用户组”下对应的用户名称才能同步。
    • 在“IAM用户同步”页面会显示所有的用户组,所有灰色不能选择的用户组和用户则不能进行IAM用户同步。

  6. 同步请求下发后,返回MRS控制台在左侧导航栏中选择“操作日志”页面查看同步是否成功,日志相关说明请参考查看MRS服务操作日志
  7. 同步成功后,即可使用IAM同步用户进行后续操作。

    • 当IAM用户的用户组的所属策略从MRS ReadOnlyAccess向MRS CommonOperations、MRS FullAccess、MRS Administrator变化时,由于集群节点的SSSD(System Security Services Daemon)缓存刷新需要时间,因此同步完成后,请等待5分钟,等待新修改策略生效之后,再进行提交作业。否则,会出现提交作业失败的情况。
    • 当IAM用户的用户组的所属策略从MRS CommonOperations、MRS FullAccess、MRS Administrator向MRS ReadOnlyAccess变化时,由于集群节点的SSSD缓存刷新需要时间,因此同步完成后,请等待5分钟,新修改策略才能生效。
    • 单击“IAM用户同步”右侧的“同步”后,集群详情页面会出现短时间空白,这是由于正在进行用户数据同步中,请耐心等待,数据同步完成后,页面将会正常显示。
    • 安全集群提交作业:安全集群中用户可通过界面“作业管理”功能提交作业,具体请参考运行MapReduce作业
    • 集群详情页面页签显示完整(包含“组件管理”,“租户管理”和“备份恢复”)。
    • 登录Manager页面。
      1. 使用admin账号登录Manager,具体请参考访问FusionInsight Manager
      2. 初始化IAM同步用户密码。
      3. 修改用户所在用户组绑定的角色,精确控制Manager下用户权限。用户所在用户组绑定的组件角色修改后,权限生效需要一定时间,请耐心等待。
      4. 使用IAM同步用户及7.b初始化后的密码登录Manager。

      当IAM用户权限发生变化时,需要执行4进行二次同步。对于系统用户,二次同步后用户的权限为IAM系统策略定义的权限和用户在Manager自行添加角色的权限的并集。对于自定义用户,二次同步后用户的权限以Manager配置的权限为准。

      • 系统用户:如果IAM用户所在用户组全部都绑定系统策略(RABC策略和细粒度策略均属于系统策略),则该用户为系统用户。
      • 自定义用户:如果IAM用户所在用户组只要有绑定任何自定义策略,则该用户为自定义用户。

  1. 取消IAM用户同步。

    需要取消某个IAM用户同步时,在“已同步”的“用户”中勾选需要取消的用户名称,单击“取消同步”。

    需要取消某个IAM用户组下的所有用户同步时,在“已同步”的“用户组”中勾选需要取消的用户组,单击“取消同步”。