在Ranger policies中Deny-conditions 和excludes介绍

最新推荐文章于 2021-06-29 20:01:04 发布
最新推荐文章于 2021-06-29 20:01:04 发布
阅读量965 收藏
点赞数 3
分类专栏: hadoop

1简介

Apache Ranger为Enterprise Hadoop生态系统提供集中安全性,包括细粒度访问控制和集中审计。当前版本的Apache Ranger,0.5支持授权策略,允许在满足指定条件时访问资源 - 条件包括用户/组,访问类型和自定义条件。但是,该模型不支持可以明确拒绝访问资源的策略。此外,该模型不支持允许(或拒绝)访问更广泛的组(如员工,每个人)的策略,但不包括可能属于更广泛组的特定用户/组。

对于Apache JIRA RANGER-606,Apache Ranger策略模型已得到增强,能够明确拒绝访问并指定允许和拒绝条件的排除。本文档介绍了这些增强功能的各种细节以及一些示例。

2政策模型

Apache Ranger策略包含两个主要部分:

  1. 适用策略的资源规范 - HDFS文件/目录,Hive数据库/表/列,HBase表/列 - 系列,列等资源
  2. 应该允许访问的条件规范,例如用户/组,访问类型和自定义条件

虽然上述第一部分与此增强功能保持不变,但政策模型已更新为支持4类条件(上述第二部分),如下所示:

  1. 允许条件(已存在于当前版本和早期版本中)
  2. 拒绝条件
  3. 不在允许条件范围内
  4. 不包括拒绝条件

有关使用这些条件来确定授权请求的访问权限的详细信息,请参阅下面的“ 策略评估 ”部分。

2.1 Apache Ranger版本-0.5

0.5版及更早版本中的Apache Ranger策略模型支持可明确允许访问资源的策略。以下屏幕截图有助于了解Apache Ranger 0.5版本中的一些策略的详细信息:

2.1.1 /财务文件夹访问的HDFS策略:允许财务组中的用户

 

2.1.2财务数据库访问的Hive策略:允许财务组中的用户

 

2.2增强的政策模型

RANGER-606中的策略模型增强功能增加了在给定条件下明确拒绝访问的功能,并指定了allow-conditions和deny-conditions的排除。让我们使用上一节中使用的相同策略,但添加条件明确拒绝访问实习生组中的用户。

请注意,在RANGER-876更新后,拒绝策略仅适用于service-def已enableDenyAndExceptionsInPolicies设置为选项的服务true,如下所示:

{

  "name": "hdfs",

  "description": "HDFS Repository",

  "options": {

   "enableDenyAndExceptionsInPolicies": "true"

  }

}

 有关更新service-def的REST API的详细信息,请参阅此Wiki。 

2.2.1 / finance文件夹访问的HDFS策略:允许财务组中的用户拒绝实习生组中的所有用户

HDFS策略允许财务组中的用户访问/ finance文件夹的内容,但拒绝访问实习生组中的用户。实习生组中的用户即使属于财务组,也将被拒绝访问。

2.2.2财务数据库访问的Hive策略:允许财务组中的用户拒绝实习生组中的所有用户

Hive策略允许所有财务组用户访问财务数据库的内容,但拒绝访问实习生组中的用户。实习生组中的用户即使属于财务组,也将被拒绝访问。


2.2.2财务数据库访问的Hive策略:允许财务组中的用户拒绝除用户scott之外的实习生组中的所有用户

假设其中一个用户,即实习生和财务小组中的scott,负责一项需要选择访问财务数据库的任务。要启用此访问权限,应通过添加拒绝排除来更新数据库的授权策略,如下所示:

2.2.3 Hive策略拒绝为实习生组中的用户访问hr,客户和供应商数据库

Hive策略拒绝为实习生组中的用户访问hr,客户和供应商数据库。实习生组中的用户即使属于可能有权访问这些数据库的其他组,也将被拒绝访问。

 

3政策评估

当支持的策略模型仅允许条件时,策略评估的顺序不会影响最终结果。Apache Ranger策略引擎评估了资源的所有策略,直到其中一个策略允许访问。当没有允许访问的策略时,通常会拒绝授权请求。 

在策略模型中引入拒绝条件需要以特定顺序评估策略,以确保最终结果是可预测的。下图捕获了策略评估流程:

以下是上图的文字版本:

  • Apache Ranger策略引擎按以下顺序评估所访问资源的策略:
    • 评估所有拒绝条件
    • 当请求与策略中的拒绝条件匹配时:
      • 如果策略没有拒绝 - 排除或者如果请求与策略中的任何拒绝排除不匹配,则访问将被拒绝
      • 否则,继续评估下一个拒绝条件
    • 当任何拒绝条件未拒绝访问时,请评估所有允许条件
    • 当请求与策略中的允许条件匹配时:
      • 如果策略没有允许排除,或者请求与策略中的任何allow-exclude不匹配,则允许访问
      • 否则,继续评估下一个允许条件
    • 如果没有allow-condition匹配请求,则访问结果将不确定。在这种情况下,大多数组件将拒绝访问。但是,HDFS和YARN等组件会回退到其本机ACL以确定访问权限

参考文献:https://cwiki.apache.org/confluence/display/RANGER/Deny-conditions+and+excludes+in+Ranger+policies

 

W609392362
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CDH 6.3.1 ranger ranger-2.1.0-admin.tar.gz
11-04
CDH 6.3.1 ranger admin模块; 需要剩下的 编译包请留言。已经完全解决所有版本的编译。
ranger启用“deny” policies(hdfs、hive等)
TBSOD的博客
05-07 512
如果没有“拒绝”策略,Ranger策略和HDFS ACL之间最宽松的访问将用于授予对资源的访问权限。换句话说,除非您明确定义了适用于所访问资源的“拒绝”策略,否则将始终考虑HDFS ACL进行授权。 启用HDFS“拒绝”策略 默认情况下,Ranger UI不提供“拒绝”策略。这主要是因为这个概念很难理解,使用“拒绝”政策时,事情很快就会变得一团糟。此外,对于大多数用户,永远不会使用此功能。使...
DGI Hive Prohibition Policy(Ranger
TBSOD的博客
05-08 328
介绍 Apache Ranger为Enterprise Hadoop生态系统提供集安全性,包括细粒度访问控制和集审计。在ranger-0.5版本,Apache Ranger引入了堆栈模型,使新组件更容易使用Apache Ranger授权和审计。此外,为了能够扩展/调整Apache Ranger以满足新的或特定于部署的授权要求,堆栈模型提供了诸如上下文丰富和策略条件之类的钩子。 在本文档...
Ranger对hive添加policy字后,hive登录用户可用,hive密码不管用的问题解决,HiveServer2 Authentication Custom的编写
涂作权的博客
05-14 1831
1、Ranger对Hive的库、表、列进行授权 在做Hive的访问权限控制的时候,Ranger对hive添加了如下Policy权限控制。配置方式如下: 2、默认情况下,Ambarihiveserver2的HiveServer2 Authentication默认是None,如下: 所以发现在服务器上进行访问hive的时候(类似:hive -n userName -p pwd),发现pwd随便写,都可以进入hive。这个显然是有问题的。 为了解决上面的问题,这里,我们自己定义HiveServer2
Ranger admin web 模块分析之policy查询缓存
coding and writing
06-29 951
文章目录ranger admin web 模块分析之policy查询缓存admin web模块RangerServicePoliciesCache类详解ServiceREST.getServicePoliciesIfUpdated详解isValidateHttpsAuthentication方法体getServicePoliciesIfUpdated(String serviceName, Long lastKnownVersion)方法体ranger-hdfs-plugin ranger admin we
APACHERANGER调研----ranger原理解析
02-23
plugin会30秒访问ranger服务更新策略(4)hiveserver2可以通过grant和revoke去请求ranger服务去更新策略(5)check和grant和revoke操作记录会放到ranger的audit审计日志里。主要步骤:(1)check是否有admin的权限和创建的...
ranger-2.1.0-hive-plugin.tar.gz
08-09
ranger-2.1.0-hive-plugin.tar.gz
APACHE RANGER 调研----ranger 原理解析
01-26
(1) 管理员设置策略以及用户(例如一个用户对一个hive数据库相关的权限)
ranger-2.0.0-admin.zip
10-27
ranger-2.0.0-admin.tar.gz 编译后文件,放心下载使用。 由于很多文章都是只有ranger的安装说明,却没有编译后的tar包,而且编译的时间有点长,所以特意奉上ranger admin 控制台的tar包,还会有其他的插件包上传的。
druid-1.0.11.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程即可使用
xmpcore-5.1.2.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程即可使用
node-v4.6.2-headers.tar.xz
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v6.2.0-headers.tar.xz
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
ECharts-2.2.7.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程即可使用
validation-api-1.1.0.Final.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程即可使用
node-v0.10.47-headers.tar.xz
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
科技大学 计算机学科学与技术学院 实验资料 课程设计-大数据导论-内含源码和说明书(可自己修改).zip
最新发布
05-21
本项目是课程设计课程实验的demo,内含源码和说明书,可以自己修改
循环小组作业.cpp
05-21
循环小组作业.cpp
ranger-admin开启默认deny权限
07-20
3. 在服务详细信息页面,找到"配置"(Configurations)选项卡,并搜索"Ranger全局策略"(Ranger Global Policies)配置。 4. 在"Ranger全局策略"配置,找到"enableDenyAndExceptionsInPolicies"参数,并将其设置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值