Hive 权限控制

最新推荐文章于 2023-09-19 10:35:45 发布
最新推荐文章于 2023-09-19 10:35:45 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: 批量:Hive/Spark/Hbas 文章标签: 大数据 hive 安全

Hive 权限控制

字数1135 阅读551 评论0

说明

  • 认证(authentication):验证用户所用的身份是否是对的
  • 授权(authorization):验证用户所用身份操作是否有权限

目前hive(版本0.12.0)支持简单的权限管理,默认情况下是不开启,这样所有的用户都具有相同的权限,同时也是超级管理员,也就对hive中的所有表都有查看和改动的权利,这样是不符合一般数据仓库的安全原则的。Hive可以是基于元数据的权限管理,也可以基于文件存储级别的权限管理,此次以介绍MetaData权限管理为主。通过以下配置开启Hive身份认证功能进行权限检查:

配置

1.开启启身份认证后,任何用户必须被grant privilege才能对实体进行操作。
hive.security.authorization.enabled = true

2.表示创建表时自动赋予一些用户或角色相应的权限
hive.security.authorization.createtable.owner.grants = ALL
hive.security.authorization.createtable.role.grants = admin_role:ALL
hive.security.authorization.createtable.user.grants = user1,user2:select;user3:create

3.<!-- 假如出现以下错误: Error while compiling statement: FAILED: SemanticException The current builtin authorization in Hive is incomplete and disabled. 需要配置下面的属性 -->
hive.security.authorization.task.factory = org.apache.hadoop.hive.ql.parse.authorization.HiveAuthorizationTaskFactoryImpl

角色管理

--创建和删除角色  
create role role_name;  
drop role role_name;  
--展示所有roles  
show roles  
--赋予角色权限  
grant select on database db_name to role role_name;    
grant select on [table] t_name to role role_name;    
--查看角色权限  
show grant role role_name on database db_name;   
show grant role role_name on [table] t_name;   
--角色赋予用户  
grant role role_name to user user_name  
--回收角色权限  
revoke select on database db_name from role role_name;  
revoke select on [table] t_name from role role_name;  
--查看某个用户所有角色  
show role grant user user_name;

超级权限

Hive的权限功能还有一个需要完善的地方,那就是“超级管理员”。
Hive中没有超级管理员,任何用户都可以进行Grant/Revoke操作,为了完善“超级管理员”,必须添加hive.semantic.analyzer.hook配置,并实现自己的权限控制类。

hive.semantic.analyzer.hook = com.mycompany.AuthHook

  1. 编译下面代码(需要导入依赖antlr-runtime-3.4.jar,hive-exec-0.12.0-cdh5.1.2.jar)
  2. 打包成jar放置在hive的classpath下(客户端hive shell所在主机的hive-env.sh 中的环境变量:HIVE_AUX_JARS_PATH指向的路径,此配置仅对hive shell生效)
  3. hive-site.xml中添加参数hive.aux.jars.path(目前仅支持本地路径) = file:///usr/lib/hive/lib/HiveAuthHook.jar(此配置仅对hive server有效),最后重启hiveserver。
package com.newland;

import org.apache.hadoop.hive.ql.parse.ASTNode;
import org.apache.hadoop.hive.ql.parse.AbstractSemanticAnalyzerHook;
import org.apache.hadoop.hive.ql.parse.HiveParser;
import org.apache.hadoop.hive.ql.parse.HiveSemanticAnalyzerHookContext;
import org.apache.hadoop.hive.ql.parse.SemanticException;
import org.apache.hadoop.hive.ql.session.SessionState;

public class AuthHook extends AbstractSemanticAnalyzerHook {
    private static String[] admin = { "root", "hadoop" };

    @Override
    public ASTNode preAnalyze(HiveSemanticAnalyzerHookContext context,
            ASTNode ast) throws SemanticException {
        switch (ast.getToken().getType()) {
        case HiveParser.TOK_CREATEDATABASE:
        case HiveParser.TOK_DROPDATABASE:
        case HiveParser.TOK_CREATEROLE:
        case HiveParser.TOK_DROPROLE:
        case HiveParser.TOK_GRANT:
        case HiveParser.TOK_REVOKE:
        case HiveParser.TOK_GRANT_ROLE:
        case HiveParser.TOK_REVOKE_ROLE:
            String userName = null;
            if (SessionState.get() != null
                    && SessionState.get().getAuthenticator() != null) {
                userName = SessionState.get().getAuthenticator().getUserName();
            }
            if (!admin[0].equalsIgnoreCase(userName)
                    && !admin[1].equalsIgnoreCase(userName)) {
                throw new SemanticException(userName
                        + " can't use ADMIN options, except " + admin[0] + ","
                        + admin[1] + ".");
            }
            break;
        default:
            break;
        }
        return ast;
    }

//    public static void main(String[] args) throws SemanticException {
//        String[] admin = { "admin", "root" };
//        String userName = "root";
//        for (String tmp : admin) {
//            System.out.println(tmp);
//            if (!tmp.equalsIgnoreCase(userName)) {
//                throw new SemanticException(userName
//                        + " can't use ADMIN options, except " + admin[0] + ","
//                        + admin[1] + ".");
//            }
//        }
//    }
}

权限管理

--赋予用户权限
grant [SELECT|...] on [database|table] [db_name|tbl_name ] to user [username];
grant select(tab_col) on table [tbl_name] to user [username];
--回收用户权限
revoke [ALL|...] on [database|table] [db_name|tbl_name ] from user [username];
--查看用户权限
show grant user [username] on [database|table] [db_name|tbl_name];
HIVE支持以下权限:
权限名称含义
ALL所有权限
ALTER允许修改元数据(modify metadata data of object)---表信息数据
UPDATE允许修改物理数据(modify physical data of object)---实际数据
CREATE允许进行Create操作
DROP允许进行DROP操作
INDEX允许建索引(目前还没有实现)
LOCK当出现并发的使用允许用户进行LOCK和UNLOCK操作
SELECT允许用户进行SELECT操作
SHOW_DATABASE允许用户查看可用的数据库

附:

登录hive元数据库,可以发现以下表:
Db_privs:记录了User/Role在DB上的权限
Tbl_privs:记录了User/Role在table上的权限
Tbl_col_privs:记录了User/Role在table column上的权限
Roles:记录了所有创建的role
Role_map:记录了User与Role的对应关系

大数据部
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hive 创建访问用户_Hive授权(Security配置)
weixin_39700063的博客
12-19 908
HIVE授权管理,类似于操作系统权限可以授予给不同的主题,如用户(USER),组(GROUP),角色(ROLES),Hive还是支持相当多的权限管理功能,满足一般数据仓库的使用,同时HIVE能支持自定义权限HIVE授权并不是完全安全,在其目前的形式来看,授权方案的目的是主要是为了防止用户不小心好做了不合法的操作,但不承诺防止用户恶意破坏。一、HIVE新建文件权限Hive由一个默认的设置来配置新建...
Hive记录-hive权限控制
weixin_30955617的博客
10-17 180
在使用Hive的元数据配置权限之前必须现在hive-site.xml中配置两个参数,配置参数如下: <property> <name>hive.security.authorization.enabled</name> <value>true</value> </property> <property> ...
Hive 基本语法操练(六):Hive权限控制
weixin_34077371的博客
05-24 211
Hive权限控制 Hive从0.10可以通过元数据控制权限。但是Hive权限控制并不是完全安全的。基本的授权方案的目的是防止用户不小心做了不合适的事情。 为了使用Hive的授权机制,有两个参数必须在hive-site.xml中设置: < property> < name>hive.security.authorization.enabled&...
Hive授权(Security配置)
好读书,每有会意,便欣然忘食。
09-17 3565
摘:https://cwiki.apache.org/Hive/languagemanual-auth.html        https://cwiki.apache.org/Hive/authdev.html        http://grokbase.com/t/hive/user/11aksphhas/authorization-and-remote-connection-on-
Hive权限授权
最新发布
qq_33668425的博客
09-19 1347
3.查看指定用户在指定表的权限:show grant user {userName} on table {dbName}.{tableName};语法:revoke {authority_name} on database {dbName} from user {userName};语法:grant {authority_name} on database {dbName} to user {userName};1.查看指定用户在所有库下面的权限:show grant user {username};
Hive权限设置说明
07-17
CDH平台,通过hue访问hive控制库级别,表级别,及列级别的访问权限
hive权限1.doc
05-18
Hive中,权限管理是确保数据安全性的...通过以上命令,Hive用户可以根据需要进行精细的权限控制,确保数据的安全性和访问合规性。在实际应用中,根据组织的安全策略和用户需求,合理设置和管理这些权限是非常关键的。
Hive权限设置说明文档.doc
09-24
要访问 Hive,需要通过 Hue 进行身份验证和权限控制。下面是具体的设置步骤: 1. 创建 Hue 用户和组:使用 Hue 管理员账号登录 Hue,创建用户和组,设置用户名、密码和组别。 2. 配置 Hive 权限:在 hive-site.xml ...
Hive权限设置说明文档
09-25
一、Hive权限模型 Hive权限模型主要基于SQL标准的访问控制,包括了四种基本权限:SELECT、INSERT、UPDATE和DELETE,以及两种全局权限CREATE和DROP。此外,还有ALTER权限用于修改表或数据库的属性,以及INDEX...
hive-role.zip
01-12
"hive-role.zip" 文件看起来是与 Hive权限管理和配置相关的资源包,可能包含了一些实现 Hive 角色权限控制所需的 jar 包。下面将详细探讨 Hive权限设置及其相关知识点。 1. **Hive 的角色权限机制**: Hive ...
Hive权限介绍
weixin_33849942的博客
03-31 391
一、开启权限  眼下hive支持简单的权限管理,默认情况下是不开启。这样全部的用户都具有同样的权限。同一时候也是超级管理员。也就对hive中的全部表都有查看和修改的权利,这样是不符合一般数据仓库的安全原则的。Hive能够是基于元数据的权限管理。也能够基于文件存储级别的权限管理。此次以介绍MetaData权限管理为主。通过下面配置开启Hive身份认证功能进行权限检查:     &...
[翻译]Hive的Security配置
妙妙的博客
05-03 1530
为了更好地使用好Hive,我将《Programming Hive》的Security章节取出来,翻译了一下。 Hive还是支持相当多的权限管理功能,满足一般数据仓库的使用。Hive由一个默认的设置来配置新建文件的默认权限。<property> <name>hive.files.umask.value</name> <value>0002</value> <descripti
Hive权限认证模块详解
Deegue
03-13 3125
1、前言 前段时间,在升级Hive版本(从Hive1.1.0升级至Hive2.3.6)的过程中,遇到了权限兼容问题。 (升级相关请移步Hive1.1.0升级至2.3.6 踩坑记录) Hive1.1.0使用的是AuthorizerV1而Hive2.3.6默认是AuthorizerV2,两者相差极大。 其中AuthorizerV2的权限验证极为严格,如果曾经使用V1鉴权想要使用V2的,需要修改部分代码...
hive权限设置
qq_35094452的博客
05-10 1930
1、打开权限控制,默认是没有限制的 set hive.security.authorization.enabled=true; 2、配置默认权限 hive.security.authorization.createtable.owner.grants = ALL hive.security.authorization.createtable.role.grants = admin_ro...
Hive权限管理
weixin_30426957的博客
12-10 203
最近遇到一个hive权限的问题,先简单记录一下,目前自己的理解不一定对,后续根据自己的理解程度更新 一、hive用户的概念   hive本身没有创建用户的命令,hive的用户就是Linux用户,若当前是用mr用户输入hive,进入hive的shell,则当前hive的用户为mr。   hive本身不提供用户和用户的管理,只做权限控制。   所以在实际的生产中,容易造成创表和使用表的用户...
Hive权限管理默认认证-传统模式
youchuikai的博客
05-17 2836
Hive权限管理默认认证-传统模式本文档通过基本认证模式来描述Hive安全,在hive客户端层面控制进入hive元数据。 免责声明: hive authorization 不是完全安全,这个基本的认证模式打算主要是为了良好的用户去预防偶然的误操作,但是不能保证恶意的用户做恶意的事情,详情可以查看 Hive authorization main page中涉及安全的选项。前提要求: 为了使用hi
cdh的hive配置文件位置_基于CDH5.x的Hive权限配置
weixin_39849894的博客
12-22 324
1、打开权限控制,默认是没有限制的set hive.security.authorization.enabled=true;2、配置默认权限hive.security.authorization.createtable.owner.grants = ALLhive.security.authorization.createtable.role.grants = admin_role:ALLhive...
hive 创建访问用户_Hive权限控制 用户和组
weixin_39522408的博客
02-01 836
Hive权限控制Hive权限机制:Hive从0.10可以通过元数据控制权限。但是Hive权限控制并不是完全安全的。基本的授权方案的目的是防止用户不小心做了不合适的事情。先决条件:为了使用Hive的授权机制,有两个参数必须在hive-site.xml中设置:hive.security.authorization.enabledtrueenable or disable the hive c...
Hive--如何控制权限
qq_46893497的博客
03-07 1304
Hive如何控制权限前言准备创建角色删除角色授权撤销具体功能权限举个栗子:创建和删除角色角色的授权和撤销为角色分配具体的功能权限 前言 Hive从0.10版本(包含0.10版本)以后可以通过元数据来控制权限Hive-0.10之前的版本对权限控制主要是通过Linux的用户和用户组来控制,不能对Hive表的CREATE、SELECT、DROP等操作进行控制,当然Hive基于元数据来控制权限也不是安全的,目的就是为了防止用户不小心做了不该做的操作。 项目中根据不同的项目组,不同的业务线,来划分不同的角色权限
hive如何权限控制
08-18
- *3* [Hive权限设置说明](https://download.csdn.net/download/javajxz008/10546997)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值