探索Hive用户权限(一):用户及库表权限

最新推荐文章于 2024-03-07 10:04:00 发布
最新推荐文章于 2024-03-07 10:04:00 发布
阅读量5.8k 收藏 5
点赞数 2
分类专栏: 大数据 文章标签: hive
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/changlina_1989/article/details/119033304
版权

文章目录

前言

一、hive用户授权机制

二、Hive安全配置

三、代码实现:只允许特定用户登录客户端均能对hive集群的库表进行授权的操作

四、示例

前言

本文主要论述hive的用户及表安全配置,涉及到点主要有:hive的用户授权机制、hive安全配置、hive用户与linux用户关系以及通过代码实现特定用户登录客户端对hive集群的库表进行授权的操作。

一、hive用户授权机制

大家知道hive把元数据存储在metastore数据库中,一般都是mysql库中。metastore库中主要存储hive的库、表、分区、用户、角色等信息。比如:db_privs:记录了用户/角色在库上的权限,tbl_privs:记录了用户/角色在ge上的权限,tbl_col_privs:记录了用户/角色在表字段上的权限,tbls:记录了所有表信息。从元数据库中可以看出Hive是通过存储在元数据中的信息来管理用户权限,或者说是基于GRANT/REVOKE的授权机制。hive的数据分为元数据和数据文件两部分,元数据存储在metastore数据库中,而数据文件则存储在HDFS,控制元数据即控制可访问的数据文件。

Hive的用户是如何产生的?hive用户就是linux的用户,hive本身没有用户管理,只提供权限管理(这一点与hadoop类似)。

二、Hive安全配置

在Hive的配置文件hive-site.xml中加入以下配置:

<property>

        <name>hive.security.authorization.enabled</name>

        <value>true</value>

        <final>true</final>

</property>

<property>

        <name>hive.metastore.execute.setugi</name>

        <value>true</value>

</property>

 <property>

        <name>hive.metastore.authorization.storage.checks</name>

        <value>true</value>

        <final>true</final>

 </property>

 <property>

        <name>hive.security.authorization.createtable.owner.grants</name>

        <value>ALL</value>

        <final>true</final>

</property>

<property>

        <name>hive.users.in.admin.role</name>

        <value>hdfs</value>

 </property>

<property>

 <name>hive.security.authorization.manager</name>                <value>org.apache.hadoop.hive.ql.security.authorization.DefaultHiveAuthorizationProvider</value>

</property>

<property>

        <name>hive.security.authenticator.manager</name>

        <value>org.apache.hadoop.hive.ql.security.HadoopDefaultAuthenticator</value>

 </property>

<property>

       <name>hive.security.metastore.authenticator.manager</name>        <value>org.apache.hadoop.hive.ql.security.HadoopDefaultMetastoreAuthenticator</value>

</property>

三、代码实现:只允许特定用户登录客户端均能对hive集群的库表进行授权的操作

以上配置可以开启hive的安全配置选项,但是熟悉hive的用户发现有严重安全问题:默认开启的Hive权限后,任何用户登录客户端均能对整个Hive集群的库表进行授权操作,为了限制能进行grant操作的用户,所以需要在hive-site.xml加入如下配置:

<property>

        <name>hive.semantic.analyzer.hook</name>

        <value>com.costom.hive.AuthHook</value>

</property>

com.costom.hive.AuthHook类的实现如下:

package com.costom.hive;

import java.util.ArrayList;
import java.util.List;
import org.antlr.runtime.Token;
import org.apache.hadoop.hive.ql.parse.ASTNode;
import org.apache.hadoop.hive.ql.parse.AbstractSemanticAnalyzerHook;
import org.apache.hadoop.hive.ql.parse.HiveSemanticAnalyzerHookContext;
import org.apache.hadoop.hive.ql.parse.SemanticException;
import org.apache.hadoop.hive.ql.session.SessionState;

public class AuthHook extends AbstractSemanticAnalyzerHook
{
  private static List<String> ADMIN_USERS = new ArrayList();

  public ASTNode preAnalyze(HiveSemanticAnalyzerHookContext context, ASTNode ast)
    throws SemanticException
  {
    switch (ast.getToken().getType()) {
    case 707:
    case 712:
    case 740:
    case 744:
    case 766:
    case 768:
    case 890:
    case 891:
      String userName = null;
      if ((SessionState.get() != null) && 
        (SessionState.get().getAuthenticator() != null)) {
        userName = SessionState.getUserFromAuthenticator();
      }
      if (!ADMIN_USERS.contains(userName)) {
        throw new SemanticException(userName + " can't use ADMIN options, except " + ADMIN_USERS + ".");
      }

      break;
    }

    return ast;
  }

  static
  {
    ADMIN_USERS.add("hdfs");
    ADMIN_USERS.add("yarn");
  }
}

上面的文件如果是maven项目,下面是依赖的pom.xml文件:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <groupId>com.jd.jrjt.hive</groupId>
    <artifactId>hive-hook</artifactId>
    <version>1.0-SNAPSHOT</version>
    <dependencies>
        <dependency>
            <groupId>org.apache.hive</groupId>
            <artifactId>hive-exec</artifactId>
            <version>2.3.3</version>
        </dependency>
    </dependencies>
</project>

将上面的项目打包成jar包,再将自定义jar包传到hive集群及客户端的所有机器的$HIVE_HOME/lib路径下。

com.costom.hive.AuthHook中默认指定了: hdfs、yarn两个用户在客户端中有grant的权限,如果想配置其它的用户,自定修改jar包并上传到hive lib路径下,重启hive metastore和HiveServer2即可。

四、示例

引入上面的安全配置和jar包,就可以用hdfs和yarn给用户授权,现在通过hive cli来演示一下示例。(以下命令linux用户为hdfs

hive> show grant user cln;//结果显示没有任意库表权限
OK
Time taken: 0.119 seconds
hive> grant select on database sdm to user cln;//用hdfs给用户cln赋库sdm的select权限
OK
Time taken: 0.173 seconds
hive> grant select on table sdm.sdm_test_i_d to user cln;//用hdfs给用户cln赋表sdm_test_i_d的select权限
OK
Time taken: 0.402 seconds
hive> show grant user cln;//再次查询用户cln有库sdm及表sdm_test_i_d的select权限
sdm                             cln      USER    SELECT  false   1627031431000   hdfs
sdm     sdm_test_i_d                    cln      USER    SELECT  false   1627031483000   hdfs
Time taken: 0.082 seconds, Fetched: 2 row(s)

以上示例展示了hdfs用户给cln用户赋权的过程(主要看注释),结果hdfs用户成功给cln用户赋了库表权限。

限制用户的GRANT/REVOKE授权及用户的库表权限后,用户不能随意授权,也不能随意访问没有权限的表。但用beeline连接hiveserver2仍然出现任意用户可以随意操作hive集群的情况,我的另一篇文章继续探讨HiveServer2安全访问Hive,请关注。

白桦翅果
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用Hive进行复杂用户行为大数据分析及优化案例
02-20
利用Hive进行复杂用户行为大数据分析及优化案例(全套视频+课件+代码+讲义+工具软件),具体内容包括: 01_自动批量加载数据到hive 02_Hive表批量加载数据的脚本实现(一) 03_Hive表批量加载数据的脚本实现(二) 04_HIve中的case when、cast及unix_timestamp的使用 05_复杂日志分析-需求分析 06_复杂日志分析-需求字段讲解及过滤 07_复杂日志分析-字段提取及临时表的创建 08_复杂日志分析-指标结果的分析实现 09_Hive中数据文件的存储格式介绍及对比 10_常见的压缩格式及MapReduce的压缩介绍 11_Hadoop中编译配置Snappy压缩 12_Hadoop及Hive配置支持snappy压缩 13_Hive中的常见调优 14_Hive中的数据倾斜及解决方案-三种join方式 15_Hive中的数据倾斜及解决方案-group by 16_Hive中使用正则加载数据 17_Hive中使用Python脚本进行预处理
seatunnel 支持hive jdbc
07-28
source { Jdbc { url = "jdbc:hive2://111.11.11.11:10000/ods_wjw" driver = "org.apache.hive.jdbc.HiveDriver" user = "hive" password = "hive" table = ods_wjw_jb_gxy_hz_glk query = "select a,b,c from ods_wjw_jb_gxy_hz_glk" fetch_size = 300 } }
hive 数据库用户权限授权
最新发布
不是一枚开发
03-07 307
【代码】hive 数据库用户权限授权。
通过hive元数据库查询每个表权限信息,每个用户权限信息
qq_18239343的博客
03-21 5042
1、以表为单位,查询每个表具有什么权限 select s.*,(select tbl_name from tbls where tbl_id=s.tbl_id) tbl_name,(select name from dbs where db_id=(select db_id from tbls where tbl_id=s.tbl_id)) db_name from (select principal_name,principal_type,tbl_id,string_agg(tbl_priv,',')
Hive授权(Security配置)
valder fields
05-08 983
  摘:https://cwiki.apache.org/Hive/languagemanual-auth.html        https://cwiki.apache.org/Hive/authdev.html        http://grokbase.com/t/hive/user/11aksphhas/authorization-and-remote-connectio...
hive权限控制
weixin_41350766的博客
03-08 809
原文 see https://www.jianshu.com/p/e5b80c3e7269 说明 认证(authentication):验证用户所用的身份是否是对的 授权(authorization):验证用户所用身份操作是否有权限 目前hive(版本0.12.0)支持简单的权限管理,默认情况下是不开启,这样所有的用户都具有相同的权限,同时也是超级管理员,也就对hive中的所有表...
Hive权限控制
光于前裕于后的博客
01-25 2679
Hive表的权限管理有多种方式,如Hive自带的权限管理、Ranger、Sentry等,本文介绍前两种。 1 Hive自带的权限管理 hive> set role admin; OK Time taken: 0.087 seconds # 查看用户tom对edw_dwd.dwd_xx_d_ss表的权限 hive> show grant user tom on edw_dwd.dwd_xx_d_ss; OK edw_dwd dwd_xx_d_ss tom USER SELECT false
Hive赋予用户查询某表权限
qq_41802055的博客
06-25 3029
Hive赋予用户查询某表权限 grant select on table 库名.表名 to user 用户名 ; 展示用户查询表权限 show grant user 用户名 on table 表名.库名 ;
hive常用的授权命令
weixin_43951431的博客
09-29 3107
hive授权命令
HDFS中将普通用户增加到超级用户组supergroup以及其应用场景
热门推荐
冯立彬的博客
08-31 2万+
Hadoop平台会集成不同的组件,如hdfs、yarn、hive等,不同用户的操作权限不同,除了hdfs是超级用户以外,其它用户都默认是普通用户权限,但是有些场景之下,我们希望普通具有具有hdfs的超级权限,如我oozie中调试shell任务,其中shell调用sqoop从数据中导入数据到hive中,其后会通过Yarn来执行MapReduce这么一个过程,不过Yarn在执行的时候,会在hdfs的/...
hive权限管理整理
lituao_lt的博客
11-21 1万+
常用命令 bin/beeline -u jdbc:hive2://bigdata-senior01.ibeifeng.com:10000 -n admin -p admin 创建和删除角色 CREATE ROLE ROLE_NAME 删除角色: DROP ROLE ROLE_NAME 把role_test1角色授权给jayliu用户,命令如下 grant role role_te
Hive权限设置说明
07-17
CDH平台,通过hue访问hive,控制库级别,表级别,及列级别的访问权限
Hive权限设置说明文档.doc
09-24
CDH平台,通过hue访问hive,控制库级别,表级别,及列级别的访问权限
hive开启权限后不能创建数据库问题
03-18
背景:由于Hive需要开启权限管理,安装网上教程,开启权限配置,重启集群后。 使用root用户登录,进入Hive命令行界面。 执行 create database test; 发现报错: Authorization failed:No privilege 'Create' found ...
Hive数据仓库之电商用户数据分析系统
08-10
主要功能和技术说明如下: (1)Flume数据采集,HDFS数据储存 (2)hive数据仓库分层设计,包含...(8)数据来源为淘宝平台发布的公开数据,数据字段包括用户id、年龄、性别、商品id、商品类型id、用户行为、省份等。
minio批量上传文件及文件夹技巧
changlina_1989的博客
07-22 1万+
minio批量上传文件及文件夹
hadoop集群安装配置Kerberos(三):hadoop集群配置 kerberos 认证
changlina_1989的博客
01-01 8729
hadoop集群配置kerberos
hadoop集群安装配置Kerberos(二):搭建kerberos基础环境(主从kdc)
changlina_1989的博客
12-21 6061
文章目录 文章目录 一、安装前需知 二、安装前准备 三、安装步骤 1.NTP时钟同步 2.目录设置 3.配置hosts 4.安装软件 5.主kdc节点创建realm 6.启动服务 7.从KDC节点安装 8.快速测试 一、安装前需知 1、我们安装的方案为kerberos5解决方案,所以我们所有的KDC 都能够处理 Kerberos 5 客户端,不考虑kerberos4兼容性。 2、在选择运行 Kerberos KDC 的部署平台时,真正需要...
hive 查看用户权限
08-17
要查看Hive用户权限,可以使用以下命令: 1. 查看当前用户: set system:user.name; [1] 2. 查看当前用户在数据库中所拥有的权限: show grant use userName on database default; [1] 3. 给用户分配某数据库建表权限grant create on database default to user hadoop; [1] 4. 查看用户在某数据库的权限: show grant user hadoop on database default; [1] 另外,还可以通过Hive的配置文件来给所有用户添加权限: - 给所有用户添加所有权限: <property> <name>hive.security.authorization.createtable.owner.grants</name> <value>ALL</value> </property> [2] - 给所有用户添加查询和删除表或分区权限: <property> <name>hive.security.authorization.createtable.owner.grants</name> <value>select,drop</value> </property> [3] 以上是查看Hive用户权限的方法和配置信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Hive权限管理](https://blog.csdn.net/SW_LCC/article/details/100109015)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值