HBase的ACL说明

最新推荐文章于 2024-01-21 03:36:19 发布
最新推荐文章于 2024-01-21 03:36:19 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: HBase
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CREATE_17/article/details/87567609
版权

HBase版本:1.1.2

前言

该文只是对Kerberos应用部分中HBase使用的一个补充,主要介绍了HBase ACL的使用。

一、HBase ACL

HBase ACL的全称为HBase Access Control List,它可以实现对各UserGroupNamespaceTableColumn FamilyColumn Qualifier层级的数据权限控制。

我们可以使用grant命令对上述层级进行授权。

二、启用HBase自身权限控制

HBase在不开启授权的情况下,任何账号对HBase集群可以进行任何操作,比如disable tabledrop table等等。

HBase的安全模块包括两个部分,一个是Enable Authentication,一个是Enabled Authorization。前者是在开启Kerberize集群(Kerberos)的时候会用到(感兴趣的可以点击前往查看);后者在开启HBase自身权限控制的时候会用到。今天主要说一下后者的使用,如图所示:

Ambari HBase配置

将值修改为Native,我们注意到hbase-site会有三个配置提示被修改,点击确定并重启HBase服务:

hbase-site.xml文件会被修改:

<property>
    <name>hbase.security.authorization</name>
    <value>true</value>
</property>
<property>
    <name>hbase.coprocessor.master.classes</name>
    <value>org.apache.hadoop.hbase.security.access.AccessController</value>
</property>
<property>
    <name>hbase.coprocessor.region.classes</name>
 <value>org.apache.hadoop.hbase.security.access.AccessController,org.apache.hadoop.hbase.security.access.SecureBulkLoadEndpoint</value>
</property>
<property>
  	<name>hbase.coprocessor.regionserver.classes</name>
  	<value>org.apache.hadoop.hbase.security.access.AccessController</value>
</property>

如果没有使用Ambari统一管理服务的话,可以修改/usr/hdp/2.6.4.0-91/hbase/conf/hbase-site.xml文件,然后重启HBase服务。

按照上述操作,HBase ACL开启成功。

三、HBase ACL权限控制说明

HBase访问级别是相互独立授予的,并允许在给定范围内进行不同类型的操作。

1. 操作级别说明
操作级别说明
Read ( R )读取某个Scope资源的数据
Write ( W )在某个Scope的资源内写入数据
Execute ( X )在某个Scope执行协处理器
Create ( C )在某个Scope创建/删除表等操作
Admin ( A )在某个Scope进行集群相关操作,例如在给定的范围内平衡集群或分配区域。该权限可对命名空间进行操作
2. 某个范围(Scope)的说明
范围说明
Superuser超级账号可以进行任何操作,运行HBase服务的账号默认是hbase。也可以通过在hbase-site.xml中配置hbase.superuser的值可以添加超级账号
GlobalGlobal Scope拥有集群所有table的Admin权限
Namespace在Namespace Scope进行相关权限控制
Table在Table Scope进行相关权限控制
Column Family在Column Family Scope进行相关权限控制
Column Qualifier在Column Qualifier Scope进行相关权限控制
3. 实体说明
实体说明
User对某个用户授权
GROUP对某个用户组授权

四、设置权限

授权就是将对 [某个范围的资源] 的 [操作权限] 授予[某个实体]

设置hbase权限的命令格式:

grant <user> <permissions> [<@namespace> [<table> [<column family> [<column qualifier>]]]

这里我们新建一个test用户,来为test用户设置一下权限。

新建Linux用户:useradd test

[root@xxxxx ~]# useradd test
[root@xxxxx ~]# id test
uid=1026(test) gid=1026(test) groups=1026(test)

查看进入hbase shell的当前用户:

hbase(main):001:0> whoami
test (auth:SIMPLE)
    groups: test

另外新建一个shell客户端,切换到HBase的超级用户下,默认为hbase

1. 创建、查看、删除namespace权限

使用超级用户赋予test用户创建、查看、删除namespace的权限

# Global范围的授权
grant 'test','A'

使用test用户创建、查看、删除namespace

# 创建、查看、删除namespace
list_namespace
create_namespace 'test_ns'
drop_namespace 'test_ns'

2. 查看权限(用户拥有ADMIN级别的权限才可使用该命令)
user_permission '.*'

3. 创建/删除表

使用超级用户赋予test用户在test_ns内创建/删除表的权限。

# Namespace范围的授权
# 赋予test用户在test_ns命名空间内有创建/删除表的权限
grant 'test','AC','@test_ns'  #命名空间前要加@符号

查看权限:

user_permission '@.*'

使用test用户创建/删除表:

# 创建表
create 'test_ns:hbase_1102',  {NAME=>'cf1'}, {NAME=>'cf2'}
# drop(删除)表之前,需要先disable表
disable 'test_ns:hbase_1102'
drop 'test_ns:hbase_1102'

这时候的test_ns:hbase_1102表的权限为:

4. 为test用户设置表权限

首先为了演示权限的控制,给test_ns:hbase_1102表创造一些数据:

插入数据

hbase(main):048:0> put 'test_ns:hbase_1102', '001','cf1:name','Tom'
0 row(s) in 0.0170 seconds

hbase(main):049:0> put 'test_ns:hbase_1102', '001','cf1:gender','man'
0 row(s) in 0.0170 seconds

hbase(main):050:0> put 'test_ns:hbase_1102', '001','cf2:chinese','90'
0 row(s) in 0.0120 seconds

hbase(main):051:0> put 'test_ns:hbase_1102', '001','cf2:math','91'
0 row(s) in 0.0080 seconds

读取数据

scan 'test_ns:hbase_1102'

1. 只读列族权限

使用超级用户为test用户设置test_ns:hbase_1102表的cf1的只读权限

# Column Family范围的授权
grant 'test','R','test_ns:hbase_1102','cf1'

这样我们的效果预期是使用scan 'test_ns:hbase_1102’的时候,仅显示列族cf1的相关信息,但是是这样的吗?请继续往下看:

# 查看test_ns:hbase_1102的权限
user_permission 'test_ns:hbase_1102'

很明显,test_ns:hbase_1102表有两条关于test用户的权限说明,它的权限层级不同的时候是不会被影响的。假如我们要设置为只读cf1这个列族信息的话,需要将第一条相关test的权限进行回收:

# revoke命令格式
revoke <user> [<@namespace> [<table> [<column family> [<column qualifier>]]]]

使用HBase超级用户执行:

# revoke回收权限
revoke 'test','test_ns:hbase_1102'
# 再次查看表权限
user_permission 'test_ns:hbase_1102'

这样的话,就做到了控制test用户只读列族cf1的信息了,使用test用户执行:

scan 'test_ns:hbase_1102'

2. 只读列族中某列权限

使用HBase超级用户执行:

revoke 'test','test_ns:hbase_1102','cf1'
# Column Qualifier范围的授权
grant 'test','R','test_ns:hbase_1102','cf1','name'

使用test用户执行:

scan 'test_ns:hbase_1102'

符合预期设想。

五、总结

HBase ACL的开启还是很有必要的,它能细粒化地控制用户对HBase数据的操作。根据HBase ACL的实战演练,需要注意HBase ACL的范围(Scope)权限是互不干扰的,如果需要达到预期的权限,建议多使用user_permission命令查看权限。如果权限没有达到预期,建议再revoke一下。

本文主要讲解了HBase ACL的说明使用:

  • ACL权限控制说明
  • 使用grant命令
  • 使用revoke命令
  • 如何查看某表的权限

HBase ACL相对来说比较简单,但也呼吁大家动手实践一下~

如果您觉得文章写得不错,请扫码关注公众号支持作者~您的关注是我写作的最大动力?

关注大数据实战演练

create17
关注
专栏目录
HBase原理与代码实例讲解
AI天才研究院
05-28 289
HBase是一个分布式、可伸缩、面向列的开源数据库,它建立在Hadoop文件系统之上,可以为海量数据提供随机、实时的读写访问。HBase最初是作为Hadoop项目的一部分进行开发的,后来由Apache软件基金会作为顶级项目独立出来。HBase的设计灵感来自于Google的BigTable论文,它采用了类似的数据模型。HBase非常适合于需要在非结构化的稀疏数据上进行快速查询的场景,例如网络日志分析、内容传递网络等。
HBase的权限控制
进一步有一步的欢喜
08-27 6999
HBase自带的权限管理工具: HBase的权限管理包括两个部分,分别是Authentication&Authorization Authentication:针对某host是否有权成为集群的regionserver或者client端; Authorization:是针对client端对集群数据的读写等权限; 其中Authentication由kerberos提供解决方
HBase ACL机制
鲸鱼写程序的专栏
03-26 382
Master 空集群怎么初始化表和znode的 空集群:hbase-site配置中Master要加载ACL协处理器;空集群初始化表,在AccessController的postStartMaster中初始化的; 启动怎么加载权限数据的(从zk加载还是从表加载) 从zk加载数据 RegionServer zk中的数据怎么...
实战配置Hbase_ACL 权限
云上的听者
05-24 1875
1Hbase自身权限控制 HBase的权限管理包括两个部分,分别是Authentication&Authorization Authentication:针对某访问ip或者主机 是否有权成为集群的regionserver或者client端; 其中Authentication由kerberos提供解决方案(机器级别的安全认证),用户级别的Authorization由ACL模块控制;k...
hbase Acl授权
shy_snow的专栏
12-09 1214
#切换hbase的admin用户的票据后 hbase shell #给hdfs赋权 权限有5个 RWXCA grant 'hdfs', 'RWXCA' #收回授权 revoke 'hdfs'
hbase权限管理(访问控制标签ACL)
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
01-03 5811
默认情况下,访问hbase是不需要用户密码等认证方式的。 开启认证 HBase的权限管理依赖协协处理器。所以我们需要配置hbase.security.authorization=true,以及hbase.coprocessor.master.classes和hbase.coprocessor.master.classes使其包含org.apache.hadoop.hbase.security. a...
hbase命令_HBaseACL说明
weixin_39907526的博客
12-01 210
HBase版本:1.1.2前言该文只是对Kerberos应用部分中HBase使用的一个补充,主要介绍了HBase ACL的使用。一、HBase ACLHBase ACL的全称为HBase Access Control List,它可以实现对各User、Group、Namespace、Table、Column Family、Column Qualifier层级的数据权限控制。我们可以使用grant命...
hbase-2.2.3-bin.tar.gz
04-07
5. **Cell级别的ACL**:HBase 2.2.3引入了细粒度的访问控制列表,允许对单个单元格进行权限控制,增强了数据安全性。 6. **Backward Compatibility**:尽管增加了许多新特性,但2.2.3版本仍保持向后兼容,使得升级...
HBase用户手册-v2.2.docx
05-14
HBase使用Hadoop的ACL(Access Control List)进行权限控制,确保数据安全。管理员需设置合适的权限,以便用户按需访问。 4.2 命名规范 表和列族的命名应遵循一定的规则,比如使用小写字母和下划线,避免特殊字符,...
HBase1.2.3版本常用配置参数说明
农村外出务工男的博客
01-24 3228
一、前言     主要针对HBase的1.2.3版本参照官网,对其常用配置参数进行翻译说明,供查阅。 二、配置参数说明   hbase.tmp.dir ${java.io.tmpdir}/hbase-${user.name} Temporary directory on the local filesystem. Change this setting to
Hbase权限设置
07-14
文件主要介绍如何在CDH集群安装模式下如何实现Hbase的权限控制,及Hbase常用的权限控制命令
How-to: enable hbase ACL and verify
lulynn的博客
07-15 1885
Add following configuration in hbase-site.xml: hbase.security.authorization true hbase.coprocessor.master.classes org.apache.hadoop.hbase.security.access.AccessController hbase.copr
HBase 常用Shell命令
BusyMonkey
04-17 600
http://www.cnblogs.com/nexiyi/p/hbase_shell.html   两个月前使用过hbase,现在最基本的命令都淡忘了,留一个备查~ 1、查看当前用户 hbase(main)&gt;whoami 2、查看有哪些表 hbase(main)&gt; list 3、创建表 # 语法:create &lt;table&gt;, {NAME =&gt;...
hbase数据备份与恢复
weixin_44799695的博客
04-12 1993
一、环境 集群名称 服务器名称 Ip地址 角色 ns1 master1 192.168.80.182 HRegionServer,HMaster master2 192.168.80....
HBase的安全性和权限控制
互联网知识分享
09-05 563
的权限控制涵盖了多种权限类型,包括表级权限、列族级权限和列级权限。表级权限控制可以控制对整个表的访问权限,列族级权限控制可以控制对特定列族的访问权限,列级权限控制可以控制对特定列的访问权限。通过用户和用户组,可以对不同的用户和用户组分配不同的权限。这些机制可以保护数据的安全性和完整性,并限制对数据的访问和操作。权限检查可以防止未经授权的访问和操作,确保数据的安全性和完整性。可以定义读写权限、创建和删除表的权限,以及对列簇和列的权限。,可以为每个表设置不同的权限,并指定用户或用户组对表的访问权限。
HBase的安全策略和机制
互联网知识分享
09-05 223
数据加密可以保护数据在传输和存储过程中的安全性;安全插件可以增强数据库的安全性。支持对数据进行加密,保护数据在传输和存储过程中的安全性。可以定义在表级别、列族级别和单元格级别,可以设置读、写、执行和管理等权限。支持对数据进行加密,保护数据在传输和存储过程中的安全性。数据库,提供了数据存储和访问的功能。)来控制对表、列族和单元格的访问权限。可以控制对表、列族和单元格的访问权限;来控制对表、列族和单元格的访问权限。是一个分布式的、可扩展的、基于列的。提供了一系列的安全策略和机制。提供的加密功能对数据进行加密。
Hbase权限访问命令、报错:Grant无权限(acl文件少了)
小方块的博客
09-20 2958
hbase权限访问
HBase的数据安全与访问控制策略
最新发布
AI天才研究院
01-21 935
1.背景介绍 1. 背景介绍 HBase是一个分布式、可扩展、高性能的列式存储系统,基于Google的Bigtable设计。它是Hadoop生态系统的一部分,可以与HDFS、MapReduce、ZooKeeper等组件集成。HBase具有高可靠性、高性能和高可扩展性等优势,适用于大规模数据存储和实时数据处理。 数据安全和访问控制是HBase的核心特性之一,可以保护数据的完整性、可用性和安全性...
HBase 之访问控制
厚积而薄发
12-12 4935
转自:http://www.spnguru.com/2011/07/678/     构建和运维HBase集群是一个非常有挑战性的工作。HBase凭借其在海量数据的良好的扩展性和高效的读写能力,受到越来越多公司的重视。 在公司里,HBase越来越受欢迎。希望通过HBase读写数据的产品越来越多,在兴奋之余,头疼的问题也来了。毕竟,作为线上的产品,我们不希望过多人随意的访问,会照成很
hbase建表语句说明
09-03
HBase是一个分布式的、面向列的NoSQL数据库,其表的结构与关系型数据库不同。HBase表的建表语句可以通过HBase Shell或HBase API来执行。 下面是一个示例的HBase建表语句: ```shell create 'mytable', 'cf1', 'cf2' ``` 上述语句创建了名为"mytable"的表,并且指定了两个列族"cf1"和"cf2"。列族是表中列的集合,可以理解为逻辑上的分组。 在HBase中,列是没有预定义的模式的,因此可以根据需要动态添加列。对于每个列,可以存储多个版本的数据。 可以通过以下语句修改表的配置: ```shell alter 'mytable', NAME => 'cf1', VERSIONS => 3 ``` 上述语句将列族"cf1"的版本数设置为3。 另外,还可以通过HBase API来创建表。以下是一个Java API的示例: ```java import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.hbase.HBaseConfiguration; import org.apache.hadoop.hbase.HColumnDescriptor; import org.apache.hadoop.hbase.HTableDescriptor; import org.apache.hadoop.hbase.TableName; import org.apache.hadoop.hbase.client.Admin; import org.apache.hadoop.hbase.client.Connection; import org.apache.hadoop.hbase.client.ConnectionFactory; public class CreateTableExample { public static void main(String[] args) throws Exception { Configuration conf = HBaseConfiguration.create(); try (Connection connection = ConnectionFactory.createConnection(conf); Admin admin = connection.getAdmin()) { TableName tableName = TableName.valueOf("mytable"); HTableDescriptor tableDescriptor = new HTableDescriptor(tableName); HColumnDescriptor columnDescriptor1 = new HColumnDescriptor("cf1"); HColumnDescriptor columnDescriptor2 = new HColumnDescriptor("cf2"); tableDescriptor.addFamily(columnDescriptor1); tableDescriptor.addFamily(columnDescriptor2); admin.createTable(tableDescriptor); } } } ``` 上述代码使用HBase的Java API创建了名为"mytable"的表,并添加了两个列族"cf1"和"cf2"。 需要注意的是,上述示例只是简单的表结构创建示例,实际使用时,还需根据具体需求进行适当调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

create17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值