概述

实际业务处理场景中，经常遇到需要将BMR集群资源及集群中的数据、服务等在多个组织及部门间共享的场景，需要能够做到集群中细粒度的计算资源及访问权限管控。 对于云上资源（集群、作业）粒度的管理，请参见多用户访问控制。 用户管理功能提供了BMR集群中从账号、认证、授权、审计四个纬度的统一安全方案，满足企业级细粒度多租户及安全管控需求。并且支持与IAM账号做关联打通，易于使用。

管理BMR账号

BMR账号是BMR集群中LDAP、Kerberos、Linux、Ranger等几个模块的打通的同用户名的身份集合。

说明

• BMR账号所关联的身份会根据集群中实际启动的组件情况决定。
• 启动Kerberos，请参见集群安全模式。
• LDAP为默认启动组件，当前已支持hadoop、hbase模版。
• Ranger为创建集群时的可选组件。

1. 在“产品服务->MapReduce-集群列表”页，点击集群名称，进入该集群的集群详情页。
2. 在集群详情页，点击左侧“用户管理”按钮，管理BMR账号。
3. 点击“添加BMR账号”，可以选择已有的IAM子用户，为该用户创建集群中同用户名的BMR账号。
4. 点击“修改”，可以修改BMR账号的密码及备注信息。
5. 点击“下载keytab”，可以下载该账号对应的keytab，用作集群中提交作业时使用。
6. 点击“删除”，可以删除该BMR账号。
7. 点击表格右上角“去Ranger配置权限”，为创建的BMR账号配置在集群中的组件及数据访问权限。请注意，若不配置权限，默认无法使用组件及访问数据。Ranger的初始账号密码为admin、rangeradmin123，请管理员用户及时修改密码。

说明

• 开启Ranger的情况下，需要为创建的BMR账号在Ranger中设置相关策略，否则无法在console以及集群中提交作业等。Ranger配置详情请查看Ranger配置。
• 只有admin账号才可在Ranger中为其他BMR账号配置权限，请注意及时修改并保存好密码。
• 若在多用户访问控制中，将IAM子用户的状态设置为“禁用”，则该IAM子用户关联的BMR账号无法进行任何操作。