0575-5.16.1-Hive中只有create权限却能查看到非自己创建表的异常

最新推荐文章于 2023-08-06 12:57:56 发布
最新推荐文章于 2023-08-06 12:57:56 发布
阅读量298 收藏
点赞数
分类专栏: Hadoop实操
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hadoop_SC/article/details/103101341
版权

1 问题描述

Fayson今天在CDH5.16.1 的版本中,使用Hive授权的时候发现两个角色都只有database的create 权限,却能看到各自角色创建的表。如下:

create role createtest1;
create role createtest2;
grant CREATE on database test to role createtest1;            
grant CREATE on database test to role createtest2;
GRANT ROLE createtest1 TO GROUP createtest1;
GRANT ROLE createtest1 TO GROUP createtest2;

执行查看角色权限语句,确认授权无误:

show grant role createtest1;
show grant role createtest2;

用户createtest1,创建表test1

use test;
show tables;
create table test1 (s1 string);
show tables;

用户createtest2,创建表test2

use test;
show tables;
create table test2 (s1 string);
show tables;

发现createtest2 可以看到createtest1 所建的表,而createtest1也可以看到createtest2所建的表。

2 问题分析和解决

在上面的描述中我们可以看到在CDH5.16.1中启用Sentry后,Hive 角色权限管理的粒度不够细,没有select 权限却可以看到非自己所创建的表,我们知道在C6中,Sentry是有对权限的更细粒度的管控,于是Fayson便在CDH6.1.0 中验证该问题是否存在。

首先还是一样创建角色授权,步骤跟上述一致,Fayson在这里直接只截取查看角色权限的图

create role createtest1;
create role createtest2;
grant CREATE on database test to role createtest1;            
grant CREATE on database test to role createtest2;
GRANT ROLE createtest1 TO GROUP createtest1;
GRANT ROLE createtest1 TO GROUP createtest2;

然后切换到createtest1用户创建表test1

use test;
create table test1 (s1 string);
show tables;

这里发现自己创建的表自己也看不到了,这是因为权限粒度的细分。需要切换到hive 用户授予select 权限,授予select 权限后查看:

grant SELECT on database test to role createtest1;

再切换到createtest2用户创建表test2

use test;
create table test2 (s1 string);
show tables;

发现也是一样的情况,自己创建的表也是看不到。这次为了区分权限,Fayson只将test.test2 表的查看权限赋予createtest2 角色,切换到hive 用户后执行如下命令

grant SELECT on database test.test2 to role createtest2;

再切换回createtest2用户后执行查看:

发现createtest2 用户只能看到授权的test2表,而createtest1 授权的是库级别的select 权限是可以查看到test 库中所有的表的

3 总结

Sentry的细粒度create权限是5.16的新特性,具体参考Fayson之前的文章《0466-CDH5.16.1和CM5.16.1的新功能》,从CDH5.16.1开始,Sentry和Hive引入了细粒度权限,为角色提供对象级权限。细粒度权限添加CREATE权限,允许用户创建数据库和表。以前的Sentry,如果你想要让某个用户能够创建数据库和表即CREATE权限,你必须得给他赋ALL权限,这样其实是不太合理的,比如某个用户你只想让他能够创建表,但是因为有了ALL权限,某个Database下的所有表他都有权限,包括他还能drop掉整个Database或者所有table。

虽然在CDH5.16.1已经添加了Sentry的细粒度create权限,但通过上述的验证发现这个create 权限仍存在问题,通过在CDH 6.1中验证发现已经修复了该问题,目前在CDH 6.1.x 中create权限正常使用。

Hadoop_SC
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dcm4che-5.16.1.zip
08-28
《深入理解dcm4che-5.16.1:Java版DICOM影像处理工具包解析》 在医疗影像领域,DICOM(Digital Imaging and Communications in Medicine)是一种广泛使用的标准,用于存储、传输和管理医学图像。dcm4che是一个开源...
hive查看表创建时间
那又怎样?的博客
07-04 1万+
执行命令descformatted <database>.<table_name>在hivecli.它将显示类似于的详细表信息 desc formatted wkz;
hive:统计hive所有表的大小和创建时间
王木头的博客
03-04 5285
h统计hive所有表的大小和创建时间
hive 权限:Authorization failed:No privilege 'Create' found for outputs
lxpbs8851的专栏
09-12 1万+
创建表报错: create table test ( name string ); Authorization failed:No privilege 'Create' found for outputs { database:dbname}. Use show grant to get more details.   解决办法: hive>      set;   用户:
操作hive表的时候报错:权限不够等权限问题,以及如何修改hive表的权限
li793829630的博客
12-28 5671
我们一般在公司进行hive上面的表的操作的时候, 经常会碰见权限不够的问题: 上面这些错误就是说明我们当前用户的权限不够了。 这个时候,你要通知一些有管理员权限的人员或者账号去赋权。 具体操作步骤如下: 例子: 假设我用的是test用户 1 show create table xx你的表名xx 然后你会得到下面的信息 CREATE TABLE `tablename`( `month_id` string COMMENT '', `day_id` string, `part_id` str
Unity2019的android动态申请权限(Permissions)
热门推荐
Thewen
09-24 3万+
目录 1.先上最终研究成果(unity已经提供了面向Android的 权限申请方法) 2.疑难问题 3.原理解析: 1.先上最终研究成果(unity已经提供了面向Android的 权限申请方法) ex:UnityEngine.Android.Permission.RequestUserPermission(s); 重要提示:使用unity的动态权限申请可以动态的弹出是否同意该权限......
cloudera-manager-agent-5.16.1-1.cm5161.p0.1.el7.x86_64.rpm
03-10
cloudera-manager-agent-5.16.1-1.cm5161.p0.1.el7.x86_64.rpm centos7安装
cloudera-manager-server-5.16.1-1.cm5161.p0.1.el7.x86_64.rpm
03-10
cloudera-manager-server-5.16.1-1.cm5161.p0.1.el7.x86_64.rpm centos7CM包下载
perl-5.16.1.tar
08-14
Perl,一种功能丰富的计算机程序语言,运行在超过100种计算机平台上,适用广泛,从大型机到便携设备,从快速原型创建到大规模可扩展开发。 [1] Perl最初的设计者为拉里·沃尔(Larry Wall),于1987年12月18日发表...
cloudera-manager-5.16.1.zip
03-24
《Cloudera Manager 5.16.1:大数据集群管理的得力助手》 Cloudera Manager(简称CM)是Cloudera公司提供的一款强大的大数据管理工具,它专为管理CDH(Cloudera Distribution Including Apache Hadoop)集群而设计...
hive 授权
疯狂的矩阵
07-15 1370
Hive授权(Security配置) 博客分类: Hive分享 摘:https://cwiki.apache.org/Hive/languagemanual-auth.html https://cwiki.apache.org/Hive/authdev.html http://grokbase.com/t/hive/user/11aksphhas...
hive设置权限
邢宁
01-12 3699
一、修改hive配置文件 vim hive-site.xml <property> <name>hive.files.umask.value</name> <value>0002</value> </property> <property> <name>hive.metastore.authorization.storage.checks</name> <value>tr
Hive 的角色和权限控制
最新发布
互联网知识分享
08-06 1670
权限模型,用户可以拥有多个角色,一个角色可以包含多个用户。管理员可以根据需要创建和管理角色,并为这些角色分配相应的权限的角色控制是通过角色的概念来实现的,角色可以理解为一组用户的集合,可以对这个集合的用户进行权限的管理。用户可以根据自己的需求创建和管理角色,并为这些角色分配相应的权限权限控制是通过授权的方式来实现的,它可以限制用户对数据库、表和列的访问权限,角色可以理解为一组用户的集合,权限可以限制用户对数据库、表和列的操作权限。)的,它将用户分为角色,并为每个角色分配相应的权限
Oracle查看表创建时间
qq_43278973的博客
06-30 1668
Oracle查看表创建时间
HIVE常见操作一】
小猪de博客
08-31 2682
HIVE常见操作
Hive详解
calorie的博客
07-03 495
Hive使用必知必会系列 一、Hive的几种数据模型 内部表 (Table 将数据保存到Hive 自己的数据仓库目录:/usr/hive/warehouse) 外部表 (External Table 相对于内部表,数据不在自己的数据仓库,只保存数据的元信息) 分区表 (Partition Table将数据按照设定的条件分开存储,提高查询效率,分区-----> 目录) 桶表 (Buck...
Hive授权(Security配置)
valder fields
05-08 1006
  摘:https://cwiki.apache.org/Hive/languagemanual-auth.html        https://cwiki.apache.org/Hive/authdev.html        http://grokbase.com/t/hive/user/11aksphhas/authorization-and-remote-connectio...
[翻译]Hive的Security配置
dacoolbaby的专栏
03-15 217
为了更好地使用好Hive,我将《Programming Hive》的Security章节取出来,翻译了一下。 Hive还是支持相当多的权限管理功能,满足一般数据仓库的使用。   Hive由一个默认的设置来配置新建文件的默认权限。 &lt;property&gt; &lt;name&gt;hive.files.umask.value&lt;/name&gt; &lt;valu...
Hive权限控制和超级管理员的实现
weixin_33774308的博客
06-20 776
Hive权限控制 Hive权限机制: Hive从0.10可以通过元数据控制权限。但是Hive权限控制并不是完全安全的。基本的授权方案的目的是防止用户不小心做了不合适的事情。  先决条件: 为了使用Hive的授权机制,有两个参数必须在hive-site.xml设置: &lt;property&gt; &lt;name&gt;hive.security.authoriza...
创建kudu表_0611-5.16.1-Kudu表执行COMPUTE STATS 命令异常分析
05-25
1. 表不存在或无法访问 - 确保表已创建并且您有足够的权限来访问它。 2. Kudu Master不可用 - 确保Kudu Master正在运行并可用。 3. Kudu心节点故障 - 如果您的Kudu集群有多个心节点,请确保它们都在运行,并且...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值