华为云首页用户手册

MAPREDUCE服务 MRS-IAM用户同步MRS集群说明:同步IAM用户

时间：2024-08-18 05:11:11

MAPREDUCE服务 MRS 集群用户权限概述

同步 IAM 用户

创建用户并授权使用 MRS 服务，具体请参考创建IAM用户并授权使用MRS。
登录MRS控制台并创建集群，具体请参考自定义购买MRS集群。
在左侧导航栏中选择“现有集群”，单击集群名称进入集群详情页面。
在“概览”页签单击“IAM用户同步”右侧的“单击同步”进行IAM用户同步。
在弹窗“IAM用户同步”的“待同步”页面，搜索需要同步IAM用户所在的用户组，单击对应的用户组名称。在“用户”中勾选需要同步的IAM用户，单击“同步”。
- 如需同步所有的用户，在“待同步”中勾选“全部同步”即可。
- 如只勾选“用户组”，该用户组下的用户不会同步，必须勾选“用户组”下对应的用户名称才能同步。
- 在“IAM用户同步”页面会显示所有的用户组，所有灰色不能选择的用户组和用户则不能进行IAM用户同步。
同步请求下发后，返回MRS控制台在左侧导航栏中选择“操作日志”页面查看同步是否成功，日志相关说明请参考查看MRS云服务操作日志。
同步成功后，即可使用IAM同步用户进行后续操作。
- 当IAM用户的用户组的所属策略从MRS ReadOnlyAccess向MRS CommonOperations、MRS FullAccess、MRS Administrator变化时，由于集群节点的SSSD（System Security Services Daemon）缓存刷新需要时间，因此同步完成后，请等待5分钟，等待新修改策略生效之后，再进行提交作业。否则，会出现提交作业失败的情况。
- 当IAM用户的用户组的所属策略从MRS CommonOperations、MRS FullAccess、MRS Administrator向MRS ReadOnlyAccess变化时，由于集群节点的SSSD缓存刷新需要时间，因此同步完成后，请等待5分钟，新修改策略才能生效。
- 单击“IAM用户同步”右侧的“同步”后，集群详情页面会出现短时间空白，这是由于正在进行用户数据同步中，请耐心等待，数据同步完成后，页面将会正常显示。
- 安全集群提交作业：安全集群中用户可通过界面“作业管理”功能提交作业，具体请参考运行MapReduce作业。
- 集群详情页面页签显示完整（包含“组件管理”，“租户管理”和“备份恢复”）。
- 登录Manager页面。
  1. 使用admin账号登录Manager，具体请参考访问MRS集群Manager。
  2. 初始化IAM同步用户密码，具体请参考初始化MRS集群用户密码。
  3. 修改用户所在用户组绑定的角色，精确控制Manager下用户权限，具体请参考管理MRS集群用户组修改用户组绑定的角色，如需创建修改角色请参考添加角色。用户所在用户组绑定的组件角色修改后，权限生效需要一定时间，请耐心等待。
  4. 使用IAM同步用户及7.b初始化后的密码登录Manager。
  当IAM用户权限发生变化时，需要执行4进行二次同步。对于系统用户，二次同步后用户的权限为IAM系统策略定义的权限和用户在Manager自行添加角色的权限的并集。对于自定义用户，二次同步后用户的权限以Manager配置的权限为准。
  - 系统用户：如果IAM用户所在用户组全部都绑定系统策略（RABC策略和细粒度策略均属于系统策略），则该用户为系统用户。
  - 自定义用户：如果IAM用户所在用户组只要有绑定任何自定义策略，则该用户为自定义用户。