腾讯云弹性 MapReduce(以下简称 EMR),运行操作时,需要访问或操作其他相关云产品,为确保协作者或子用户正常操作和使用 EMR,本文提供相关权限授予操作指引。
权限策略总览
策略名 | 描述 | 是否必选 | Description |
QcloudCamRoleFullAccess | 用户与权限(CAM)角色全读写访问权限 | 否 | |
QcloudEMRFullAccess | 弹性 MapReduce(EMR)全读写访问权限 | 否 | |
QcloudEMRReadOnlyAccess | 弹性 MapReduce(EMR)只读访问权限 | 否 | EMR 产品所有功能查看权限 |
QcloudEMRPurchaseAccess | 弹性 MapReduce 产品财务权限 | 否 |
注意
QcloudEMRPurchaseAccess 预设策略允许您管理所有用户购买弹性 MapReduce 产品财务权限。该策略授予用户时同时含 CVM、CDB、EMR 财务权限;若需限制用户购买 CVM、CDB,可不授予相应产品下单操作权限。
使用场景
授权 EMR 访问其它云产品权限
1. 服务角色(必选):使用 EMR 产品服务时需要访问云上 CVM、CBS、TencentDB 等服务,在首次进行产品购买时需要赋予 EMR 产品服务角色 EMR_QCSRole 并授予策略 QcloudAccessForEMRRole(用于申请 CVM、CBS、TencentDB 等基础资源以及对 COS 的读权限)及弹性 MapReduce(EMR)对云资源的访问权限。
2. 服务相关角色(可选):EMR 直接写入或计算对象存储(COS)中的数据,为保证数据安全需要授予 EMR 通过临时密钥方式对 COS 资源进行读写,需要授予 EMR 服务相关角色 EMR_QCSLinkedRoleInApplicationDataAccess 且绑定 QcloudAccessForEMRLinkedRoleInApplicationDataAccess 预设策略。
COS 桶访问授权特别说明:
1. 自2023年8月20日新增用户或存量用户修改授权策略,默认授权服务相关角色EMR_QCSLinkedRoleInApplicationDataAcces。
2. 存量用户当前授权策略为服务角色 EMR_QCSRole 中绑定 QcloudAccessForEMRRoleInApplicationDataAccess 策略。
3. 当服务相关角色和服务角色均授权时,默认使用服务相关角色,集群实例信息授权策略中,对象存储显示已授权,且集群 COS 服务角色回显展示 EMR_QCSLinkedRoleInApplicationDataAccess 角色。
购买和管理 EMR 集群
涉及资源购买的场景如创建集群、新增组件、变更配置、扩容协作者/子用户需要被赋予 QcloudEMRFullAccess、自定义 TencentDB 购买策略;若无资源购买场景如服务配置管理、重启等仅需赋予 QcloudEMRFullAccess 策略。
注意
包年包月购买方式如未授予财务权限将生成待审核订单,将链接给到具有财务权限的账号审批,按量购买方式不支持订单审批,必须赋予财务权限。
策略类别 | 策略名称 | 策略描述 |
EMR 预设策略 | QcloudEMRFullAccess | EMR 全读写访问权限(二选一) |
EMR 预设策略 | QcloudEMRReadOnlyAccess | EMR 只读访问权限(二选一) |
EMR 预设策略 | QcloudEMRPurchaseAccess | 弹性 MapReduce 产品财务权限 |
主账号为子用户或协作者赋予以上权限,具体操作步骤如下:
1. 登录 访问管理控制台,在用户 > 用户列表中找到对应子用户或协助者,单击授权。
2. 在关联策略中搜索以上表格中策略(下图以 QcloudEMRFullAccess 策略为例),选中此策略后,单击确定即可。
3. 授予 EMR 财务策略 QcloudEMRPurchaseAccess,与步骤2相同。
集群 COS 服务角色
EMR 主账号或具有 QcloudCamRoleFullAccess 权限的协作者以及子用户,可以精准控制 COS 存储桶权限以及其他云资源权限,详见 集群 COS 服务角色。
主账号为子用户或协作者赋予 QcloudCamRoleFullAccess ,具体操作步骤如下:
1. 登录 访问管理控制台,在用户 > 用户列表 中找到对应子用户或协助者,单击授权。
2. 在关联策略中搜索 QcloudCamRoleFullAccess 策略,选中此策略后,单击确定即可。
