EMR 开发指南

协作者/子账号权限

最近更新时间:2021-05-25 16:58:59

腾讯云弹性 MapReduce(以下简称 EMR),运行操作时,需要访问或操作其他相关云产品,为确保协作者或子用户正常操作和使用 EMR,本文提供相关权限授予操作指引。

权限策略总览

策略名 描述 是否必选 说明
QcloudCamSubaccountsAuthorizeRoleFullAccess 访问管理(CAM)子用户授权服务角色相关权限,包含子用户在授权服务角色过程中涉及的全部权限 详见 授权 EMR 访问其它云产品权限
QcloudCamRoleFullAccess 用户与权限(CAM)角色全读写访问权限 用于自定义服务角色,对产品间数据访问进行细粒度权限控制,详见 自定义服务角色
QcloudEMRFullAccess 弹性 MapReduce(EMR)全读写访问权限 EMR 产品所有功能操作权限,详见 购买和管理 EMR 集群
QcloudEMRReadOnlyAccess 弹性 MapReduce(EMR)只读访问权限 EMR 产品所有功能查看权限
QcloudCVMFinanceAccess 云服务器(CVM)财务权限 详见 购买和管理 EMR 集群,如无需购买或变配,可不开启此权限。
自定义 TencentDB 购买策略 云数据库(TencentDB)购买权限 详见 购买和管理 EMR 集群,若集群部署后无需新增组件可不开启此权限。

使用场景

授权 EMR 访问其它云产品权限

EMR 主账号或具有 QcloudCamSubaccountsAuthorizeRoleFullAccess 权限的协作者以及子用户可以通过授权访问其他云产品权限。

  • 使用 EMR 产品服务时需要访问云上 CVM、CBS、TencentDB 等服务,在首次进行产品购买时需要赋予 EMR 产品服务角色 EMR_QCSRole 并授予策略 QcloudAccessForEMRRole(用于申请 CVM、CBS、TencentDB 等基础资源以及对 COS 的读权限),弹性 MapReduce(EMR)对云资源的访问权限。
  • EMR 访问对象存储中的数据,需要赋予 EMR 产品服务角色 EMR_QCSRole 并授予策略 QcloudAccessForEMRRoleInApplicationDataAccess(用于 EMR 集群使用过程中,大数据应用访问外部数据服务,例如 COS 的权限)。

主账号为子用户或协作者赋予 QcloudCamSubaccountsAuthorizeRoleFullAccess 权限,具体操作步骤如下:

  1. 登录 访问管理控制台,在【用户】>【用户列表】中找到对应子用户或协助者,单击【授权】。
  2. 在关联策略中搜索 QcloudCamSubaccountsAuthorizeRoleFullAccess 策略,选中此策略后,单击【确定】即可。

主账号和子用户以及协作者,授权 QcloudAccessForEMRRole 和 QcloudAccessForEMRRoleInApplicationDataAccess 策略,同步骤2即可。

购买和管理 EMR 集群

涉及资源购买的场景如创建集群、新增组件、变更配置、扩容协作者/子用户需要被赋予 QcloudEMRFullAccess、自定义 TencentDB 购买策略和 QcloudCVMFinanceAccess 策略;若无资源购买场景如服务配置管理、重启等仅需赋予 QcloudEMRFullAccess 策略。

注意:

包年包月购买方式如未授予财务权限将生成待审核订单,将链接给到具有财务权限的账号审批,按量购买方式不支持订单审批,必须赋予财务权限。

策略类别 策略名称 策略描述
EMR 预设策略 QcloudEMRFullAccess EMR 全读写访问权限
EMR 预设策略 QcloudEMRReadOnlyAccess EMR 只读访问权限
CVM 预设策略 QcloudCVMFinanceAccess 云服务器(CVM)财务权限
自定义策略 名称根据需要自定义 云数据库(TencentDB)购买权限

主账号为子用户或协作者赋予以上权限,具体操作步骤如下:

  1. 登录 访问管理控制台,在【用户】>【用户列表】中找到对应子用户或协助者,单击【授权】。
  2. 在关联策略中搜索以上表格中策略(下图以 QcloudEMRFullAccess 策略为例),选中此策略后,单击【确定】即可。
  3. 自定义 TencentDB 购买策略。
    • 第一步:新建自定义策略
      访问管理控制台 中选择【策略】>【新建自定义策略】>【按策略语法创建】,然后在“按策略语法创建”页面,选择空白模板。

      在编辑策略中,自定义编辑策略名称(例如 EMRvisitedCDB)和自定义编辑描述(例如 EMR 新增组件购买 TencentDB 权限),并在策略内容中输入如下 JSON 内容。以上内容填写完成后,单击【完成】。
      {
          "version": "2.0",
          "statement": [
              {
                  "effect": "allow",
                  "resource": [
                      "*"
                  ],
                  "action": [
                      "cdb:CreateDBInstance",
                      "cdb:CreateDBInstanceHour"
                  ]
              }
          ]
      }
    • 第二步:协作者/子用户绑定自定义 TencentDB 购买权限
      在访问管理控制台的用户列表中选择对应的用户名,选择【操作】>【授权】,搜索自定义策略并绑定(例如 EMRvisitedCDB)。

自定义服务角色

EMR 主账号或具有 QcloudCamRoleFullAccess 权限的协作者以及子用户,可以精准控制 COS 存储桶权限以及其他云资源权限,详见 自定义服务角色
主账号为子用户或协作者赋予 QcloudCamRoleFullAccess ,具体操作步骤如下:

  1. 登录 访问管理控制台,在【用户】>【用户列表】中找到对应子用户或协助者,单击【授权】。
  2. 在关联策略中搜索 QcloudCamRoleFullAccess 策略,选中此策略后,单击【确定】即可。
目录