本文為您介紹E-MapReduce(簡稱EMR)中Alluxio服務權限相關的內容,包括認證(Authentication),授權(Authorization)和審計(Audit),并介紹如何開啟授權和審計。

前提條件

已創建集群,并選擇了Alluxio服務,詳情請參見創建集群

認證

認證用于確認訪問者的身份信息。

EMR中的Alluxio服務支持SIMPLE、NOSASL和CUSTOM三種認證方式。默認為SIMPLE認證方式,以便用于日志審計。

在SIMPLE認證方式下,客戶端訪問Alluxio服務時,會從操作系統獲取當前的登錄用戶,一起發送請求到服務端,供服務端進行身份標識。如果客戶端設置了alluxio.security.login.username參數,客戶端將使用對應的配置作為請求服務端的用戶。如果是創建目錄或文件請求,該用戶信息會保存在元數據中。Alluxio支持修改認證方式,修改后需要重啟服務生效,詳細信息請參見Alluxio文檔

開啟授權

授權是驗證用戶是否有權限對文件和目錄進行操作。Alluxio為POSIX權限模型,Alluxio服務會根據認證中提供的用戶信息判斷允許或拒絕用戶的訪問請求。

EMR中的Alluxio默認不開啟授權,您可以通過以下方式開啟授權。

  1. 進入Alluxio頁面。
    1. 登錄阿里云E-MapReduce控制臺
    2. 在頂部菜單欄處,根據實際情況選擇地域和資源組
    3. 單擊上方的集群管理頁簽。
    4. 集群管理頁面,單擊相應集群所在行的詳情
    5. 在左側導航欄,選擇集群服務 > Alluxio
  2. 在Alluxio服務頁面,單擊配置頁簽。
  3. 開啟授權。
    1. 在配置搜索中,輸入配置項alluxio.security.authorization.permission.enabled,單擊search圖標。
    2. 設置參數alluxio.security.authorization.permission.enabled的值為true
      authorization
    3. 單擊保存
    4. 確認修改頁面,輸入執行原因,單擊確定
  4. 重啟服務。
    1. 單擊右上角的操作 > 重啟All Components
    2. 執行集群操作頁面,輸入執行原因,單擊確定
    3. 確認對話框中,單擊確定

開啟審計

Alluxio服務支持通過審計日志,查看和跟蹤用戶對文件元數據的訪問操作。Alluxio服務的審計日志存儲在/mnt/disk1/log/alluxio/master_audit.log中。

EMR中的Alluxio默認不開啟審計功能,您可以通過以下方式開啟審計功能。

  1. 進入Alluxio頁面。
    1. 登錄阿里云E-MapReduce控制臺
    2. 在頂部菜單欄處,根據實際情況選擇地域和資源組
    3. 單擊上方的集群管理頁簽。
    4. 集群管理頁面,單擊相應集群所在行的詳情
    5. 在左側導航欄,選擇集群服務 > Alluxio
  2. 在Alluxio服務頁面,單擊配置頁簽。
  3. 開啟審計功能。
    1. 在配置搜索中,輸入配置項alluxio.master.audit.logging.enabled,單擊search圖標。
    2. 設置參數alluxio.master.audit.logging.enabled的值為true
      audit
    3. 單擊保存
    4. 確認修改頁面,輸入執行原因,單擊確定
  4. 重啟服務。
    1. 單擊右上角的操作 > 重啟All Components
    2. 執行集群操作頁面,輸入執行原因,單擊確定
    3. 確認對話框中,單擊確定