本文将为您介绍开通火山引擎 E-MapReduce(EMR)的一些前提准备工作,及账号授权相关内容。
注册火山引擎账号
说明
在进行实名认证之前,需先确认您在火山引擎购买的资源属于个人或者企业即账号是归属于个人或者企业,然后选择正确的实名认证类型进行,个人实名认证只能适用于个人,如果企业用户使用个人实名认证,账号归属于个人实名主体,后续出现人员变动引起的账号纠纷将会影响到企业用户业务的正常开展。
- 个人认证仅可以登录 EMR 控制台,不能购买集群。更多个人实名与企业实名的区别,详见:主要区别
服务账号授权
为了 EMR Serverless 能够访问其他火山云资源,此操作步骤不可跳过,否则无法开通队列资源。
- 主账号登录 EMR 控制台。首次登录 EMR,需要完成 EMR 对云资源的访问授权,为 EMR 的服务账号授予名称为 ServiceRoleForEMR 的系统服务角色。
- 主账号登录 EMR Serverless 控制台。首次登录 EMR Serverless,需要完成 EMR Serverless 对云资源的访问授权,为 EMR Serverless 的服务账号授予名称为 ServiceRoleForEMRServerless 的系统服务角色。
说明
EMR 服务默认使用该角色访问依赖的火山其他云服务,使用EMR您需要对以下权限进行授权:ECS(云服务器)、VPC(私有网络、安全组)、EIP(弹性公网)、TOS(对象存储)、EBS(块存储)、IAM(访问控制)、Dataleap(大数据研发治理套件、RDS-Mysql(数据库)、LAS 等。
主账号授权
主账号默认拥有 EMR Serverless 的所有访问权限,包括控制台和API。
系统推荐使用 LAS 作为 EMR Serverless 的元数据管理系统,如果接受此推荐配置,则需要提前对主账号授予LASFullAccess 系统预设策略。
- 主账号登 EMR 控制台。
- 右上角个人信息中,单击访问控制 > 用户,进入到用户列表界面。
- 搜索主账号,添加LASFullAccess权限。
子用户授权
为了使组织里的其他用户也能够访问 EMR Serverless ,且不使用主账号(有安全风险),建议您根据角色分工对不同的子用户授予不同的系统策略。火山 IAM 同时支持对用户组/角色授予权限,详见 身份管理。
主账号登录 EMR 控制台。
右上角个人信息中,单击访问控制 > 用户,进入到用户列表界面。
单击新建用户,进行子用户创建,创建操作详见用户管理。
给子用户授权,需要根据表格提示依次配置以下三个产品的访问策略:
- 系统预设策略
产品
是否必须
系统预设策略
系统预设策略说明
EMR
必须
全部访问的策略,授权用户 EMR 全部操作权限。
开发者访问策略,授权用户除去涉及到订单和费用支付的操作(创建,释放,扩容)以外的操作权限。
只读访问策略,允许用户执行 EMR 控制台操作的只读权限。
EMR Serverless
必须
全部访问的策略,授权用户 EMR Serverless 的全部操作权限。
EMR Serverless 只读访问权限。
LAS
适用 LAS 管理元数据时(推荐)
*需主账号已授予对应权限LAS 全读写权限。
LAS 只读访问权限。