如果您需要對您所擁有的MapReduce服務（MapReduce Service）進行精細的權限管理，您可以使用統一身份認證服務（Identity and Access Management，簡稱IAM），通過IAM，您可以：

• 根據企業的業務組織，在您的云帳號中，給企業中不同職能部門的員工創建IAM用戶，讓員工擁有唯一安全憑證，并使用MRS資源。
• 根據企業用戶的職能，設置不同的訪問權限，以達到用戶之間的權限隔離。
• 將MRS資源委托給更專業、高效的其他云帳號或者云服務，這些帳號或者云服務可以根據權限進行代運維。

如果云帳號已經能滿足您的要求，不需要創建獨立的IAM用戶，您可以跳過本章節，不影響您使用MRS服務的其它功能。

本章節為您介紹對用戶授權的方法，操作流程如下圖所示。

前提條件

給用戶組授權之前，請您了解用戶組可以添加的MRS權限，并結合實際需求進行選擇。

示例流程

詳見下圖： 給用戶授權MRS權限流程

1.創建用戶組并授權

在IAM控制臺創建用戶組，并授予MRS服務對應權限。

2.創建用戶并加入用戶組

在IAM控制臺創建用戶，并將其加入上述創建用戶組并授權中創建的用戶組。

3.用戶登錄并驗證權限

新創建的用戶登錄控制臺，切換至授權區域，驗證權限：

?在“服務列表”中選擇MRS服務，進入MRS主界面，單擊右上角“創建集群”，嘗試創建MRS集群，如果無法創建MRS集群（假設當前權限僅包含MRS ReadOnlyAccess），表示“MRS ReadOnlyAccess”已生效。

?在“服務列表”中選擇除MRS服務外（假設當前策略僅包含MRS ReadOnlyAccess）的任一服務，若提示權限不足，表示“MRS ReadOnlyAccess”已生效。

MRS權限說明

默認情況下，管理員創建的IAM用戶沒有任何權限，需要將其加入用戶組，并給用戶組授予策略或角色，才能使得用戶組中的用戶獲得對應的權限，這一過程稱為授權。授權后，用戶就可以基于被授予的權限對云服務進行操作。

MRS部署時通過物理區域劃分，為項目級服務。授權時，“作用范圍”需要選擇“區域級項目”，然后在指定區域對應的項目中設置相關權限，并且該權限僅對此項目生效；如果在“所有項目”中設置權限，則該權限在所有區域項目中都生效。訪問MRS時，需要先切換至授權區域。

權限根據授權精細程度分為角色和策略。

• 角色：IAM最初提供的一種根據用戶的工作職能定義權限的粗粒度授權機制。該機制以服務為粒度，提供有限的服務相關角色用于授權。由于各服務之間存在業務依賴關系，因此給用戶授予角色時，可能需要一并授予依賴的其他角色，才能正確完成業務。角色并不能滿足用戶對精細化授權的要求，無法完全達到企業對權限最小化的安全管控要求。
• 策略：IAM最新提供的一種細粒度授權的能力，可以精確到具體服務的操作、資源以及請求條件等。基于策略的授權是一種更加靈活的授權方式，能夠滿足企業對權限最小化的安全管控要求。例如：針對MRS服務，管理員能夠控制IAM用戶僅能對集群進行指定的管理操作。如不允許某用戶組刪除集群，僅允許操作MRS集群基本操作，如創建集群、查詢集群列表等。多數細粒度策略以API接口為粒度進行權限拆分。

如下表所示，包括了MRS的所有系統策略。

MRS系統策略

下表列出了MRS常用操作與系統權限的授權關系，您可以參照該表選擇合適的系統權限。

常用操作與系統策略的授權關系