IAM用戶同步是指將綁定MRS相關策略的IAM用戶同步至MRS系統中，創建同用戶名、不同密碼的帳號，用于集群管理。同步之后，用戶可以使用IAM用戶名（密碼需要Manager的管理員admin重置后方可使用）登錄Manager管理集群。也可以在開啟Kerberos認證的集群中，通過界面方式提交作業。

IAM用戶權限策略及同步MRS后權限對比請參考下表，Manager對應默認權限說明請參考MRS集群中的用戶與權限。

IAM權限策略與MRS權限同步映射

                
說明
                
為了更方便進行用戶權限管理，請盡可能使用細粒度策略，減少RBAC策略的使用，細粒度策略判斷action時以deny優先原則。
只有具有Tenant Administrator或同時具有Server Administrator、Tenant Guest、MRS Administrator角色才在MRS集群中擁有同步IAM用戶的權限。
只要擁有action:mrs:cluster:syncUser策略就在MRS集群中擁有同步IAM用戶的權限。
              

操作步驟

1.創建用戶并授權使用MRS服務，具體請參考創建MRS操作用戶。

2.登錄MRS控制臺并創建集群，具體請參考創建自定義集群。

3.在左側導航欄中選擇“集群列表 > 現有集群”，單擊集群名稱進入集群詳情頁面。

4.在“概覽”頁簽的基本信息區域，單擊“IAM用戶同步”右側的“單擊同步”進行IAM用戶同步。

5.同步請求下發后，返回MRS控制臺在左側導航欄中選擇“操作日志”頁面查看同步是否成功，日志相關說明請參考查看MRS服務操作日志。

6.同步成功后，即可使用IAM同步用戶進行后續操作。

                
說明
                
l? 當IAM用戶的用戶組的所屬策略從MRS ReadOnlyAccess向MRS CommonOperations、MRS FullAccess、MRS Administrator變化時，由于集群節點的SSSD（System Security Services Daemon）緩存刷新需要時間，因此同步完成后，請等待5分鐘，等待新修改策略生效之后，再進行提交作業。否則，會出現提交作業失敗的情況。
l? 當IAM用戶的用戶組的所屬策略從MRS CommonOperations、MRS FullAccess、MRS Administrator向MRS ReadOnlyAccess變化時，由于集群節點的SSSD緩存刷新需要時間，因此同步完成后，請等待5分鐘，新修改策略才能生效。
l? 單擊“IAM用戶同步”右側的“同步”后，集群詳情頁面會出現短時間空白，這是由于正在進行用戶數據同步中，請耐心等待，數據同步完成后，頁面將會正常顯示。
l?? 安全集群提交作業：安全集群中用戶可通過界面“作業管理”功能提交作業，具體請參考運行MapReduce作業。
l?? 集群詳情頁面頁簽顯示完整（包含“組件管理”，“租戶管理”和“備份恢復”）。
l?? 登錄Manager頁面。
a.?????? 使用admin帳號登錄Manager，具體請參考訪問集群Manager。
b.?????? 初始化IAM同步用戶密碼，具體請參考初始化系統用戶密碼。
c.?????? 修改用戶所在用戶組綁定的角色，精確控制Manager下用戶權限，具體請參考創建任務組中的相關任務修改用戶組綁定的角色，如需創建修改角色請參考創建角色。用戶所在用戶組綁定的組件角色修改后，權限生效需要一定時間，請耐心等待。
d.?????? 使用IAM同步用戶及步驟6.b初始化后的密碼登錄Manager。