ranger中启用“deny” policies(hdfs、hive等)

最新推荐文章于 2023-12-18 16:45:32 发布
最新推荐文章于 2023-12-18 16:45:32 发布
阅读量522 收藏
点赞数

如果没有“拒绝”策略,Ranger策略和HDFS ACL之间最宽松的访问将用于授予对资源的访问权限。换句话说,除非您明确定义了适用于所访问资源的“拒绝”策略,否则将始终考虑HDFS ACL进行授权。

启用HDFS“拒绝”策略

默认情况下,Ranger UI中不提供“拒绝”策略。这主要是因为这个概念很难理解,使用“拒绝”政策时,事情很快就会变得一团糟。此外,对于大多数用户,永远不会使用此功能。使用该功能时需要小心谨慎。

要启用它,请从Ranger管理服务器检索HDFS服务定义:

$ curl -k -u <user> https://<ranger_admin_server>:6080/service/public/v2/api/servicedef/1 > hdfs.json

ps: 端口根据部署ranger的端口来指定,可能不同;1代表HDFS,2代表HBASE,3代表HIVE,具体请查看RANGER REST APIS

然后,看看内容:

$ cat hdfs.json {...,"isEnabled":true,"name":"hdfs","options":{"enableDenyAndExceptionsInPolicies":"false"}...}

在“选项”字段中,您可以添加(或修改它,如果它已经存在):

"options":{"enableDenyAndExceptionsInPolicies":"true"}

然后你只需要更新服务定义:

$ curl -k -u <user> -X PUT -H "Accept: application/json" -H "Content-Type: application/json" -d @hdfs.json https://<ranger_admin_server>:6080/service/public/v2/api/servicedef/1

启用HIVE“拒绝”策略

同HDFS,将调用API改成3就可以了

效果如下图:

 

 

 

W609392362
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HBase体系、HDFS API基本操作
qq_29305191的博客
09-13 265
HBase的体系结构 1、主从结构: 主节点:HMaster 从节点:RegionServer 2、基于HDFS上的NOSQL数据库 HBase HDFS 表 --------&gt; 目录 数据 ---------&gt; 文件 主从结构的单点故障问题 ...
Ranger policiesDeny-conditions 和excludes介绍
TBSOD的博客
05-07 983
1简介 Apache Ranger为Enterprise Hadoop生态系统提供集安全性,包括细粒度访问控制和集审计。当前版本的Apache Ranger,0.5支持授权策略,允许在满足指定条件时访问资源 - 条件包括用户/组,访问类型和自定义条件。但是,该模型不支持可以明确拒绝访问资源的策略。此外,该模型不支持允许(或拒绝)访问更广泛的组(如员工,每个人)的策略,但不包括可能属于更广泛组...
日志告警模块关于对安全策略deny日志源接口地址的溯源解决,(可以给类似工具开发的朋友一个参考)...
weixin_33834628的博客
05-28 253
一、场景说明日志监控监测模块,通过收集网络设备发送的syslog关于deny日志信息,来溯源到发出大量deny访问日志的设备所连接的二层设备的接口,通过自动化产品平台有效对大量非法访问或***行为通过shutdown接入层接口的方式来阻断***蔓延,有效的保护内网安全。 二、已调研的产品支持范围 网络环境主要存在以下厂家的产品: 随着网络规模越来越大,网络设备种类繁多,并且各自的配置错综复杂,对...
hadoop+kerberos+ranger Api整理(六)
weixin_40496191的博客
01-02 1249
hadoop相关组件api
hadoop之ranger权限配置(二)
weixin_40496191的博客
01-02 2046
ranger权限配置
ranger-2.1.0-hive-plugin.tar.gz
08-09
ranger-2.1.0-hive-plugin.tar.gz
ranger-1.2.0-hdfs-plugin.tar.gz
04-21
Ranger是HDP体系统安全管理的重要一环。它提供了具体资源(如HBase的具体表)...ranger-1.2.0官方没有编译后的二进制tar包,而且编译的时间有点长,依赖的第三方库多,特意提供linux版本ranger-1.2.0的hdfs插件。
ranger-2.1.0-hdfs-plugin.tar.gz
08-09
ranger-2.1.0-hdfs-plugin.tar.gz
ranger-2.0.0-SNAPSHOT-hdfs-plugin.tar.gz
11-20
ranger-2.0.0-SNAPSHOT-hdfs-plugin.tar.gz 配合ranger-admin使用
ranger-2.3.0-hdfs-plugin.tar.gz
最新发布
12-20
ranger-2.3.0-hdfs-plugin.tar.gz, source from https://github.com/zer0beat/apache-ranger-compiled/releases
ranger】CDP环境 更新 ranger 权限策略会发生低概率丢失权限策略的解决方法
Mrerlou的博客
12-18 1151
服务在更新(添加) ranger 权限时,会有极低的概率导致 MM2 同步服务报错,报错内容。看到我们的策略确实是已经配置,但是实际上落实到各个服务的策略缓存时发生了丢失。CM ->ranger-> 配置 -> 日志 -> INFO改为 DEBUG。查看修改配置后,ranger 的性能。但是查看 ranger 权限是赋予的,并且很早配置的权限策略也会报错。CM -> 集群 -> Ranger-> 配置 -> 搜索。1.集群 -> Ranger -> 配置 -> 搜索。就是存放我们实际的缓存策略的文件。
Route-Policy 路由策略 规则详解
热门推荐
yiluyangguang1234的专栏
07-14 4万+
ROUTE-POLICY 路由策略 规则详解  在实际工程经常用到route-policy的情况,下面对route-policy和ACL的详细匹配规则做以说明:  一、 标准访问列表:  #  acl number 2000    rule 0 permit source 192.168.1.0 0.0.0.255  此类ACL用于route-policy时做前缀匹配,即路由条目
防火墙安全策略
qq_44850340的博客
02-04 5067
包过滤技术基础 包过滤技术简介: 对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。 实现包过滤的核心技术是访问控制列表。 包过滤作为一种网络安全保护机制,主要用于对网络各种不同的流量是否转发做一个最基本的控制。传统的包过滤...
Hdfs 权限与Ranger 权限管理的控制
Stay Focused And Work Hard !!!
01-02 9097
本文主要探讨Ranger对Hdfs文件权限控制的一些细节问题笔者环境:Ambari + Hdp2.5 (安装了Ranger, Kerberos)1、首先是Hdfs 源文件文件对外开放的权限如下:新建文本文档.txt 对应的权限如下-rwxrwx---对应的权限说明权限说明:对资源所拥有者以及分组内的用户开放读写执行权限,其他用户没有任何权限用户project2 权限信息1、project2没有加...
ranger命令
啦啦啦
03-30 9178
ranger命令 ranger主要用来在终端浏览文件的, 使用起来也比较优于平时常用的cd命令. 安装 sudo apt-get install ranger 配置 启动之后 ranger 会创建一个目录 ~/.config/ranger/. 可以使用以下命令复制默认配置文件到这个目录: ranger --copy-config=all rc.conf - 选项设置和快捷键 commands...
干货:一文看懂Apache Ranger | 凌云时刻
云布道师
05-26 6110
凌云时刻 ·技术导读:Apache Ranger来源于XA Secure公司。2013年,XA Secure在加利福尼亚成立,专门做Hadoop生态的安全管控。2014年,Horton...
APACHE RANGER 调研----5.ranger 原理解析
wangwenting2016的博客
12-24 5293
1.hive 授权流程    (1) 管理员设置策略以及用户(例如一个用户对一个hive数据库相关的权限) --->(2) 用户通过 jdbc beeline 去请求HiveServe2     --->(3)hive 权限check, 请求ranger api 获取策略是否已经更新,更新了就利用新的策略,如果没有更新利用本地缓存数据, plugin 会30 秒访问ranger
使用Ranger对Hive数据进行脱敏
weixin_34040079的博客
01-15 2023
Ranger支持对Hive数据的脱敏处理(Data Masking),它对select的返回结果进行脱敏处理,对用户屏蔽敏感信息。 备注:该功能针对HiveServer2的场景(如beeline/jdbc/Hue等途径执行的select),对于使用Hive Client(如hive -e 'select xxxx')不支持。 接下来介绍如何在E-MapR...
ranger控制数据访问权限
onlyForCloud的专栏
04-05 1万+
ranger的特点就是,自己可以帮你去干你不能干的事情。 比如你这个用户没有hdfs某个目录下某个文件的读权限,但是你在ranger里面配了可以访问这个文件,你访问时ranger就帮你拿回来给你   一,hbase权限 (OK) 【前置】 Ranger上配置了HBase的所有表都只能由hbase用户和ambari-qa用户来访问   【实际】 1、我们使用hive用户执行h
ranger-admin开启默认deny权限
07-20
要在Ranger Admin启用默认的拒绝权限,您可以按照以下步骤进行操作: 1. 登录到Ranger Admin的管理界面。 2. 导航到"服务"(Services)选项卡,并选择您想要启用默认拒绝权限的服务。 3. 在服务详细信息页面,找到"配置"(Configurations)选项卡,并搜索"Ranger全局策略"(Ranger Global Policies)配置。 4. 在"Ranger全局策略"配置,找到"enableDenyAndExceptionsInPolicies"参数,并将其设置为"true"。 5. 保存配置更改并重新启动相关的服务。 完成上述步骤后,Ranger Admin启用默认的拒绝权限,并根据您在Ranger定义的策略来进行访问控制。请注意,确保在定义策略时准确配置访问规则以满足您的需求。 请注意,上述步骤可能会因Ranger版本和配置而有所不同。根据您的具体情况,可能需要参考Ranger的官方文档或寻求更多帮助来完成此操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值