Cloudera Manager用户角色

对Cloudera Manager功能的访问由指定身份验证机制和一个或多个用户角色的用户帐户控制。用户角色确定经过身份验证的用户可以执行的任务以及该用户在Cloudera Manager管理控制台中可见的功能。除了默认用户角色，您还可以创建仅适用于特定集群的用户角色。

Cloudera Manager管理和管理任务的文档指出了执行任务所需的用户角色。

注意

Cloudera Enterprise提供了所有可能的用户角色。Cloudera Express仅提供只读和完全管理员用户角色。当Cloudera Enterprise Data Hub Edition试用许可证到期时，只有具有只读和完全管理员角色的用户才能登录Cloudera Manager。完全管理员必须将具有其他角色的用户帐户更改为只读或完全管理员，然后才能登录。

显示您的角色

要查看您的角色，请执行以下步骤：

1.在Cloudera Manager管理控制台中，选择 > My Profile。

默认用户角色

默认情况下，Cloudera Manager附带用户角色，这些用户角色对由Cloudera Manager管理的所有集群具有特权。您可以创建角色，这些角色是默认用户角色和特定集群上的特权的组合。有关此类角色的更多信息，请参阅《具有特权的用户角色的集群》。

下表描述了每个用户角色可以执行的操作：

具有集群特权的用户角色

除了默认用户角色，您还可以创建仅适用于特定集群的用户角色。通过将特定集群的特权分配给默认角色来完成创建此新角色的操作。当用户帐户具有多个角色时，特权是所有角色的并集。

例如，该用户帐户milton具有“受限操作员”角色和只读角色，其作用域为集群1。此外，该用户帐户milton在集群2上具有“配置者”角色。

在集群1上，milton可以执行受限操作员和只读用户可以执行的所有操作。

在集群2上，milton可以执行配置程序可以执行的所有操作。

用户帐户milton无法在由Cloudera Manager管理的其他集群上执行这些或任何其他操作，因为该帐户没有任何其他角色。

另一个用户帐户edith拥有Configurator角色，并具有对所有集群的特权。这意味着，edith 由于范围是所有集群，因此可以在Cloudera Manager管理的所有集群上执行Configurator角色的操作。

您可以将特定集群的特权分配给以下用户角色：

•集群管理员

•配置器

•限制运营商

•操作员

•只读

无法为特定集群分配特权的用户角色适用于所有集群。例如，如果edith具有密钥管理员用户角色，则她可以在所有集群上执行密钥管理员的操作。

为特定集群添加用户角色

要创建对特定集群具有特权的角色，请执行以下步骤：

1.在Cloudera Manager管理控制台中，导航至 管理>用户和角色>角色。

2.点击添加角色。

3.指定以下内容：

o特权：您要为其分配特权的用户角色和集群。

o用户：您要分配给此新角色的用户。您可以现在或以后分配用户。

oLDAP组/外部程序退出代码/ SAML属性/ SAML脚本退出代码：您要将此新角色分配给的外部映射。您可以现在或以后使用“将外部身份验证映射到角色”中描述的过程分配外部映射。

该字段基于您的身份验证模式，不会对本地用户显示。

外部程序退出代码和SAML脚本退出代码的有效值在0到127之间。您在配置外部身份验证时定义了要与这些值关联的用户。了解更多信息，

如果要从Cloudera Manager 5升级到Cloudera Manager 6，则现有映射是从Cloudera Manager 5导入的。可以更改这些导入的映射。

4.点击添加。

将外部身份验证映射到角色

如果您使用外部身份验证（例如SAML脚本），则必须将其信息映射到Cloudera Manager用户角色。但是，在映射角色之前，请确保该角色存在。如果它不存在，请通过完成为特定集群添加用户角色中描述的步骤来创建它。

注意

如果未将外部身份验证实体（例如LDAP组）映射到角色，则属于该组的用户将默认为无访问权限。

例如，您正在使用SAML脚本，并希望将与退出代码15相对应的用户帐户分配给具有名为的集群的特权的集群管理员角色cluster1。

为此，请在Cloudera Manager管理控制台中执行以下步骤：

1.导航到 管理>用户和角色>角色。

2.根据您的身份验证方法，选择“ LDAP组”，“ SAML属性”，“ SAML脚本”或“外部程序”。

3.单击添加映射。

4.填写身份验证方法的值（例如SAML脚本退出代码），然后从下拉菜单中选择要映射到该值的角色。

对于SAML脚本和外部程序，有效值为0到127之间。

5.点击保存。

6.对要映射的所有角色重复此过程。

如果要从Cloudera Manager 5升级到Cloudera Manager 6，则现有映射是从Cloudera Manager 5导入的。可以更改这些导入的映射。

为用户分配角色

除了将组（例如LDAP组）映射到用户角色外，还可以将单个用户分配给用户角色。如果不分配角色，则本地用户默认为无访问权限。这意味着用户无法在集群上执行任何操作。

要将用户帐户添加到角色，请执行以下步骤：

1.在Cloudera Manager管理控制台中，导航至 管理>用户和角色>角色。

2.单击分配给要修改的角色。

3.指定要分配给角色的“用户”或“ ”组。

4.保存更改。

从用户角色中删除用户或外部映射

执行以下步骤从用户角色中删除用户帐户或外部映射：

1.在Cloudera Manager管理控制台中，导航至 管理>用户和角色>角色。

2.单击分配给要修改的角色。

3.单击您要从用户角色中删除的每个用户或外部映射的X，然后单击 保存。

删除角色

要删除具有特定特权的角色，必须首先删除具有该角色的所有用户帐户。请注意，您无法删除Cloudera Manager附带的默认角色。

以下步骤描述了如何删除用户然后删除角色：

1.在Cloudera Manager管理控制台中，导航至 管理>用户和角色>角色。

2.单击分配给要修改的角色。

3.单击您要从用户角色中删除的每个用户或外部映射的X，然后单击 保存。

4.点击删除。

删除完全管理员用户角色

最低要求角色： 用户管理员（也由Full Administrator提供）使用Cloudera Manager管理数据中心集群时，此功能不可用。

在某些组织中，安全策略可能会禁止使用“完全管理员”角色。完全管理员角色是在Cloudera Manager安装期间创建的，但是只要您拥有至少一个剩余的具有用户管理员特权的用户帐户，就可以将其删除。

要删除完全管理员用户角色，请执行以下步骤。

1.添加至少一个具有“用户管理员”特权的用户帐户，或确保至少已经存在一个这样的用户帐户。

2.确保只有一个具有“完全管理员”特权的用户帐户。

3.以剩下的单个“完全管理员”用户身份登录时，选择您自己的用户帐户并删除该帐户或为其分配新的用户角色。

警告

删除最后一个完全管理员帐户后，您将立即注销，除非您有权访问另一个用户帐户，否则将无法登录。此外，将不再可能创建或分配完全管理员。

删除“完全管理员”角色的结果是，某些任务可能需要具有不同用户角色的两个或多个用户之间的协作。例如：

•如果需要替换运行Cloudera Navigator角色的计算机，则集群管理器将希望将该计算机上运行的所有角色移动到另一台计算机上。集群管理员可以通过删除和重新添加任何非导航角色来移动它们，但是需要导航管理员来执行Cloudera导航角色的停止，删除，添加和启动操作。

•为了获取HDFS快照，必须由集群管理器在集群上启用快照，但是快照本身必须由BDR管理员获取。