Hive权限控制和超级管理员的实现

最新推荐文章于 2022-08-31 00:00:00 发布
最新推荐文章于 2022-08-31 00:00:00 发布
阅读量3.5w 收藏 14
点赞数 2
分类专栏: hive

Hive权限控制

Hive权限机制:

Hive从0.10可以通过元数据控制权限。但是Hive的权限控制并不是完全安全的。基本的授权方案的目的是防止用户不小心做了不合适的事情。 

先决条件:

为了使用Hive的授权机制,有两个参数必须在hive-site.xml中设置:

<property> 
<name>hive.security.authorization.enabled</name> 
<value>true</value> 
 <description>enable or disable the hive client authorization</description> 
 </property> 
<property> 
 <name>hive.security.authorization.createtable.owner.grants</name> 
 <value>ALL</value> 
 <description>the privileges automatically granted to the owner whenever a table gets created. An example like "select,drop" will grant select and drop privilege to the owner of the table</description>
</property>

    含义分别是开启权限验证;表的创建者对表拥有所有权限

    hive.security.authorization.createtable.owner.grants默认值为NULL,所以表的创建者无法访问该表,这明显是不合理的。 

用户,组,角色:

Hive授权的核心就是用户、组、角色。

Hive中的角色和平常我们认知的角色是有区别的。Hive中的角色可以理解为一部分有一些相同“属性”的用户或组或角色的集合。这里有个递归的概念,就是一个角色可以是一些角色的集合。

用户 组

       张三 G_db1

       李四 G_db2

       王五 G_bothdb

如上有三个用户分别属于G_db1、G_db2、G_alldb。G_db1、G_db2、G_ bothdb分别表示该组用户可以访问数据库1、数据库2和可以访问1、2两个数据库。现在可以创建role_db1和role_db2,分别并授予访问数据库1和数据库2的权限。这样只要将role_eb    1赋给G_db1(或者该组的所偶用户),将role_eb2赋给G_db2,就可以是实现指定用户访问指定数据库。最后创建role_bothdb指向role_db1、role_db2(role_bothdb不需要指定访问那个数据库),然后role_bothdb授予G_bothdb,则G_bothdb中的用户可以访问两个数据库。

使用和组使用的是Linux机器上的用户和组,而角色必须自己创建。

注意:如果有一个属于组bar的用户foo,他通过cli连接到远程的Server上执行操作,而远程的Server上有一个用户foo属于baz组,则在权限控制中foo是对应的baz组的。 

角色的创建、删除、使用:

创建和删除:

CREATE ROLE ROLE_NAME

DROP ROLE ROLE_NAME 

grant/revoke:

GRANT ROLE role_name [, role_name] ... TO principal_specification [, principal_specification] ... 

REVOKE ROLE role_name [, role_name] ... FROM principal_specification [, principal_specification] ... 

principal_specification   :

USER user   | GROUP group   | ROLE role 

查看用户\组\角色的角色:               SHOW ROLE GRANT principal_specification 

示例:

create role testrole;

grant role testrole to user yinxiu; 

SHOW ROLE GRANT user yinxiu; 

OK

role name:testrole

role name:testrole

Time taken: 0.01 seconds

       revoke role testrole from user yinxiu; 

权限:

       HIVE支持以下权限:

权限名称 含义
ALL 所有权限
ALTER 允许修改元数据(modify metadata data of object)---表信息数据
UPDATE 允许修改物理数据(modify physical data of object)---实际数据
CREATE 允许进行Create操作
DROP 允许进行DROP操作
INDEX 允许建索引(目前还没有实现)
LOCK 当出现并发的使用允许用户进行LOCK和UNLOCK操作
SELECT 允许用户进行SELECT操作
SHOW_DATABASE 允许用户查看可用的数据库

常用的:ALL、CREATE、SELECT(目前qihe2061上只使这三种) 

       GRANT\REVOKE:

GRANT     priv_type [(column_list)]       [, priv_type [(column_list)]] ...     [ON object_type]     TO principal_specification [, principal_specification] ...     [WITH GRANT OPTION] 

REVOKE     priv_type [(column_list)]       [, priv_type [(column_list)]] ...     [ON object_type priv_level]     FROM principal_specification [, principal_specification] ... 

REVOKE ALL PRIVILEGES, GRANT OPTION     FROM user [, user] ...  

object_type:    

TABLE   | DATABASE  

priv_level:    

db_name   | tbl_name 

       示例:

       grant select on database default to user xiaohai;

revoke all on database default from user yinxiu;

show grant user xiaohai on database default;   

注意:[WITH GRANT OPTION]选项在试验的时候并没有生效 

       查看权限:

SHOW GRANT principal_specification [ON object_type priv_level [(column_list)]] 

       HIVE操作和权限之间的关系

As of the release of Hive 0.7, only these operations require permissions, according to org.apache.hadoop.hive.ql.plan.HiveOperation:

Operation ALTER UPDATE CREATE DROP INDEX LOCK SELECT SHOW_DATABASE
LOAD              
EXPORT              
IMPORT            
CREATE TABLE              
CREATE TABLE AS SELECT            
DROP TABLE              
SELECT              
ALTER TABLE ADD COLUMN              
ALTER TABLE REPLACE COLUMN              
ALTER TABLE RENAME              
ALTER TABLE ADD PARTITION              
ALTER TABLE DROP PARTITION              
ALTER TABLE ARCHIVE              
ALTER TABLE UNARCHIVE              
ALTER TABLE SET PROPERTIES              
ALTER TABLE SET SERDE              
ALTER TABLE SET SERDEPROPERTIES              
ALTER TABLE CLUSTER BY              
ALTER TABLE PROTECT MODE              
ALTER PARTITION PROTECT MODE              
ALTER TABLE SET FILEFORMAT              
ALTER TABLE SET LOCATION              
ALTER PARTITION SET LOCATION              
ALTER TABLE CONCATENATE              
ALTER PARTITION CONCATENATE              
SHOW DATABASE              
LOCK TABLE              
UNLOCK TABLE              
 
 
 
实现HIVE中的超级管理员

HIVE本身有权限管理功能,需要通过配置开启。

<property>

    <name>hive.metastore.authorization.storage.checks</name>

    <value>true</value>

</property>

<property>

    <name>hive.metastore.execute.setugi</name>

    <value>false</value>

</property>

<property>

    <name>hive.security.authorization.enabled</name>

    <value>true</value>

</property>

<property>

    <name>hive.security.authorization.createtable.owner.grants</name>

    <value>ALL</value>

</property>

其中hive.security.authorization.createtable.owner.grants设置成ALL表示用户对自己创建的表是有所有权限的(这样是比较合理地)。

开启权限控制有Hive的权限功能还有一个需要完善的地方,那就是“超级管理员”。

Hive中没有超级管理员,任何用户都可以进行Grant/Revoke操作,为了完善“超级管理员”,必须添加hive.semantic.analyzer.hook配置,并实现自己的权限控制类。

复制代码 
 1 /*
 2  * Copyright (c) 2010-2013 All Rights Reserved.
 3  *
 4  * Author     :
 5  * Version    :1.0
 6  * Create Date:2013-6-13
 7  */
 8 package com.xxx.hive;
 9 
10 import org.apache.hadoop.hive.ql.parse.ASTNode;
11 import org.apache.hadoop.hive.ql.parse.AbstractSemanticAnalyzerHook;
12 import org.apache.hadoop.hive.ql.parse.HiveParser;
13 import org.apache.hadoop.hive.ql.parse.HiveSemanticAnalyzerHookContext;
14 import org.apache.hadoop.hive.ql.parse.SemanticException;
15 import org.apache.hadoop.hive.ql.session.SessionState;
16 
17 /**
18  * 设置Hive超级管理员
19  * 
20  * @author 
21  * @version $Id: AuthHook.java,v 0.1 2013-6-13 下午3:32:12 yinxiu Exp $
22  */
23 public class AuthHook extends AbstractSemanticAnalyzerHook {
24     private static String admin = "xxxxxx";
25 
26     @Override
27     public ASTNode preAnalyze(HiveSemanticAnalyzerHookContext context,
28             ASTNode ast) throws SemanticException {
29         switch (ast.getToken().getType()) {
30         case HiveParser.TOK_CREATEDATABASE:
31         case HiveParser.TOK_DROPDATABASE:
32         case HiveParser.TOK_CREATEROLE:
33         case HiveParser.TOK_DROPROLE:
34         case HiveParser.TOK_GRANT:
35         case HiveParser.TOK_REVOKE:
36         case HiveParser.TOK_GRANT_ROLE:
37         case HiveParser.TOK_REVOKE_ROLE:
38             String userName = null;
39             if (SessionState.get() != null
40                     && SessionState.get().getAuthenticator() != null) {
41                 userName = SessionState.get().getAuthenticator().getUserName();
42             }
43             if (!admin.equalsIgnoreCase(userName)) {
44                 throw new SemanticException(userName
45                         + " can't use ADMIN options, except " + admin + ".");
46             }
47             break;
48         default:
49             break;
50         }
51         return ast;
52     }
53 }
复制代码

添加了控制类之后还必须添加下面的配置:

<property> 
    <name>hive.semantic.analyzer.hook</name> 
    <value>com.xxx.AuthHook</value>  
</property>

(若有使用hiveserver,hiveserver必须重启)

至此,只有xxxxxx用户可以进行Grant/Revoke操作。

权限操作示例:

grant select on database default to user xiaohai;

revoke all on database default from user yinxiu;

show grant user xiaohai on database default;  

小狼_百度
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用Python切换用户执行Hive SQL
光于前裕于后的博客
01-12 1370
在shell中执行hive sql: hive -e "hive sql" 切换用户执行: sudo su - hive -c 'hive -e "hive sql"' 但是当用python调用shell时,发现单双引号不够用了 咋办呢??? 使用<<EOF,见下: hive_cmd = 'sudo su - hive -c "hive<<EOF\n' + hive_ddl + '\nEOF"' ...
Hive权限设置说明
07-17
CDH平台,通过hue访问hive控制库级别,表级别,及列级别的访问权限
ambari 2.7.3通过hdfs超级用户,来为普通用户分配访问hive权限
周源的专栏
01-20 1470
sudo -u hdfs hdfs dfs -setfacl -m user:root:rwx /warehouse/tablespace/managed/hive 选项: -b: 删除基本ACL条目以外的所有条目。保留用户,组和其他条目以与权限位兼容。 -k: 删除默认ACL。default -R: 以递归方式将操作应用于所有文件和目录。常用。 -m: 修改ACL。新条目将添加到ACL,并保...
【转】Hive 修改 table、column
weixin_30856725的博客
06-13 1574
表 1、重命名表重命名表的语句如下: ALTER TABLE table_name RENAME TO new_table_name 2、修改表属性: ALTER TABLE table_name SET TBLPROPERTIES (property_name = property_value, property_name = property_value,... )...
大数据Hive系列之Hive用户权限管理
热门推荐
飞翔的博客
08-21 3万+
1. 角色 * 创建角色 create role role_name; * 显示角色 show roles; * 删除角色 drop role role_name; 2. 用户 * 用户进入admin角色权限 set hive.users.in.admin.role; set role admin; * 查看某用户的所有角色 show role grant user user_n...
0516-如何查看Hive中某个角色所有已授权的
Hadoop_SC的博客
12-24 2647
1 文档编写目的 在命令行执行show role grant group xxx;可以方便的获取该组拥有的角色,但不能够通过一条命令查看某个角色下拥有哪些组。 那么有没有比较方便的方式直接列出某个角色下所有已授权的组,接下来Fayson介绍 测试环境 1.CM和CDH版本为5.15.0 2.Redhat7.4 2 查看角色下所有组 当前没有这样的使用一条语句来查看角色下所有已授权的组。目前可...
探索Hive用户权限(一):用户及库表权限
changlina_1989的博客
07-23 5760
文章目录 前言 本文主要论述hive的用户及表安全配置,涉及到点主要有:hive的用户授权机制、hive安全配置、hive用户与linux用户关系以及通过代码实现特定用户登录客户端对hive集群的库表进行授权的操作。 一、hive用户授权机制 大家知道hive把元数据存储在metastore数据库中,一般都是mysql库中。metastore库中主要存储hive的库、表、分区、用户、角色等信息。比如:db_privs:记录了用户/角色在库上的权限,tbl_privs:记录了用户/角色在g...
hive开启权限后不能创建数据库问题
03-18
背景:由于Hive需要开启权限管理,安装网上教程,开启权限配置,重启集群后。 使用root用户登录,进入Hive命令行界面。 执行 create database test; 发现报错: Authorization failed:No privilege 'Create' found ...
hive仓库元数据管理系统
02-05
hive仓库元数据管理系统 hive仓库元数据管理系统 ##有如下功能: 1.hive元数据信息的查看,包括表基本...10.如果你的调度系统是zeus,那么可以通过本系统和zeus结合,实现对字段与表在zeus中的开发中心引用关系的查看
Hive管理表和外部表的区别
01-07
关于Hive数据仓库的管理表(MANAGED_TABLE)和外部表(EXTERNAL_TABLE)的区别,在创表的时候,如果不指定,则默认创建管理表。如果不知道此表是什么类型的表的话,可以在hive的命令行里打desc formatted table_name...
Hive事务管理避坑指南
02-01
Hive作为Hadoop家族历史最悠久的组件之一,一直以其优秀的兼容性支持和稳定性而著称,越来越多的企业将业务数据从传统数据库迁移至Hadoop平台,并通过Hive来进行数据分析。但是我们在迁移的过程中难免会碰到如何将...
Hive用户权限管理
杨鑫newlife的专栏
11-27 575
基本权限如下: ALTER 更改表结构,创建分区 CREATE 创建表 DROP 删除表,或分区 INDEX 创建和删除索引 ...
[一起学Hive]之二十-自定义HiveServer2的用户安全认证
tony的专栏
05-06 5021
HiveServer2提供了JDBC链接操作Hive的功能,非常实用,但如果在使用HiveServer2时候,不注意安全控制,将非常危险,因为任何人都可以作为超级用户来操作Hive及HDFS数据。 比如:在配置HiveServer2的时候,hive.server2.authentication=NONE,表示没有用户认证。 使用beeline,模拟成超级用户hadoop,成功连接到
Hive基本操作
weixin_30624825的博客
08-17 109
实例: 建立外部表: CREATE EXTERNAL TABLE `trojan_controller`( `key` string COMMENT 'key', `src` string COMMENT '', `src_type` string COMMENT '', `e_detail_type_code` string COMMENT '', `e_base_type...
hive常用函数大全
mqd_chan的博客
11-11 1641
#数据类型 Name Type 字符串 string/varchar(65536)/char(255) 整数 smallint/int/bigint 小数 float/double/decimal(m,n) 布尔 boolean 日期 date/timestamp 列表 array<data_type> 结构体 struct<col_name:data_type,…> 键值 map<key_type,value_type>
hive库中,命令行给用户赋权
one_uueu的博客
12-15 2736
hive库的表赋权给其他租户 grant select,update,insert,delete on USER1.user to USER2; 将用户1下的user表的增删改查权限给用户2; revoke select,update,insert,delete on USER1.user from USER2; 将用户1下的user表的增删改查权限从用户2移除; ...
HIVE常见操作一】
小猪de博客
08-31 2523
HIVE常见操作
Python基于PyQt5和SMTP协议实现邮件发送程序案例源码.7z
最新发布
04-17
该程序采用了Python的smtplib模块和pyqt5模块,实现了自动登录QQ邮箱的功能,并且支持向其他QQ邮箱或如网易邮箱等其他类型的邮箱发送文本邮件和附带文件的邮件。
hive赋予hadoop用户超级管理员
06-08
Hive 中,可以通过授权(GRANT)命令来赋予用户超级管理员权限。要将 Hadoop 用户赋予超级管理员权限,可以按照以下步骤进行: 1. 进入 Hive 命令行界面,输入以下命令创建一个超级管理员角色: ``` CREATE ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值