HIVE权限控制(一)

最新推荐文章于 2022-12-18 09:30:20 发布
最新推荐文章于 2022-12-18 09:30:20 发布
阅读量194 收藏
点赞数
原文链接:https://my.oschina.net/u/816457/blog/1538585
版权

测试版本:  hive1.1.0/hive1.2.0 hadoop2.6.0-cdh5.4.9/hadoop2.6.0-cdh5.4.9  hbase1.3.1/hbase1.2.0

说明:  如果不用比如sentry这样的钩子,就不太好管理了,每个用户都可以通过grant语句给自己赋权,都拥有对数据库的操作权限,因此需要加一个Hook来管理,代码如下:

参考网友们的整理的知识,自己再重新整理记录

参考连接:   http://blog.csdn.net/kwu_ganymede/article/details/52733021

package com.neo.hive;

import org.apache.hadoop.hive.ql.parse.ASTNode;
import org.apache.hadoop.hive.ql.parse.AbstractSemanticAnalyzerHook;
import org.apache.hadoop.hive.ql.parse.HiveParser;
import org.apache.hadoop.hive.ql.parse.HiveSemanticAnalyzerHookContext;
import org.apache.hadoop.hive.ql.parse.SemanticException;
import org.apache.hadoop.hive.ql.session.SessionState;


public class ManagerHook extends AbstractSemanticAnalyzerHook {

    private static String[] admin = {"sqoop", "hadoop", "hive"};  //配置Hive管理员

    @Override
    public ASTNode preAnalyze(HiveSemanticAnalyzerHookContext context,
                              ASTNode ast) throws SemanticException {
        switch (ast.getToken().getType()) {
            case HiveParser.TOK_CREATEDATABASE:
            case HiveParser.TOK_DROPDATABASE:
            case HiveParser.TOK_CREATEROLE:
            case HiveParser.TOK_DROPROLE:
            case HiveParser.TOK_GRANT:
            case HiveParser.TOK_REVOKE:
            case HiveParser.TOK_GRANT_ROLE:
            case HiveParser.TOK_REVOKE_ROLE:
                String userName = null;
                if (SessionState.get() != null
                        && SessionState.get().getAuthenticator() != null) {
                    userName = SessionState.get().getAuthenticator().getUserName();
                }
                if (!admin[0].equalsIgnoreCase(userName)
                        && !admin[1].equalsIgnoreCase(userName)
                        && !admin[2].equalsIgnoreCase(userName)) {
                    throw new SemanticException(userName + "can't use ADMIN options, except "
                            + admin[0] + ","
                            + admin[1] + ","
                            + admin[2] + ".");
                }
                break;
            default:
                break;
        }
        return ast;
    }

    public static void main(String[] args) throws SemanticException {
        String[] admin = {"admin", "root"};
        String userName = "root";
        for (String tmp : admin) {
            System.out.println(tmp);
            if (!admin[0].equalsIgnoreCase(userName) && !admin[1].equalsIgnoreCase(userName)) {
                throw new SemanticException(userName
                        + " can't use ADMIN options, except " + admin[0] + ","
                        + admin[1] + ".");
            }
        }
    }

}

 

maven 依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>hive-auth</groupId>
    <artifactId>hive-auth-01</artifactId>
    <version>1.0-SNAPSHOT</version>


    <dependencies>
        <dependency>
            <groupId>org.apache.hive</groupId>
            <artifactId>hive-exec</artifactId>
            <version>1.1.0-cdh5.4.4</version>
        </dependency>
        <dependency>
            <groupId>org.apache.hadoop</groupId>
            <artifactId>hadoop-client</artifactId>
            <version>2.6.0-cdh5.4.4</version>
        </dependency>
    </dependencies>

</project>

打包后放到$HIVE_HOME/lib/ 目录下,相依的hive-site.xml 配置如下:

<!--权限管理  -->
<property>
    <name>hive.security.authorization.enabled</name>
    <value>true</value>
</property>
<property>
    <name>hive.security.authorization.createtable.owner.grants</name>
    <value>ALL</value>
</property>
<property>
    <name>hive.security.authorization.task.factory</name>
    <value>org.apache.hadoop.hive.ql.parse.authorization.HiveAuthorizationTaskFactoryImpl</value>
</property>
<property>
    <name>hive.semantic.analyzer.hook</name>
    <value>com.neo.hive.ManagerHook</value>
</property>

HIVE支持以下权限:

权限名称						    含义
ALL								所有权限
ALTER							允许修改元数据(modify metadata data of object)---表信息数据
UPDATE							允许修改物理数据(modify physical data of object)---实际数据
CREATE							允许进行Create操作
DROP							允许进行DROP操作
INDEX							允许建索引(目前还没有实现)
LOCK							当出现并发的使用允许用户进行LOCK和UNLOCK操作
SELECT							允许用户进行SELECT操作
SHOW_DATABASE				    允许用户查看可用的数据库



--权限的拥有者
1. 基于用户的管理 user
2. 基于组的权限管理 group
3. 基于角色的权限管理  role

--被管控对象
database
table
partitions
COLUMNS

我这里仅谈到了 database  table 级的权限

--建立数据库的权限仅仅超级用户可以拥有,并且初始时并不具有,需要执行grant语句给自己赋权
--如下赋权后方可建立数据库
grant all to user hadoop;
revoke all from user hadoop;

基于数据库/表->角色->用户/组->用户级权限

--可以将数据库或者表的权限赋予角色,然后将角色的权限赋予用户或者组,之后属于该角色的用户或者属于该组的用户具有该角色拥有的权限
--创建和删除角色  
create role admin_role;  
drop role admin_role;  


--查看所有角色
show roles 

--将数据库的操作权限赋予角色,此时该角色具有对数据库下面的表具有相应的权限,
--用户自己可以在该库先建立相应的表,并且对自己表拥有一切权限

grant select  on database xxx to role admin_role;
grant create  on database xxx to role admin_role;

--查看说有权限
show grant

--权限回收
revoke select on database xxx from  role admin_role;
revoke create on database xxx from  role admin_role;


grant select  on table  ttt to role admin_role;
grant create  on table  ttt to role admin_role;


--查看角色权限  
show grant role role_name on database db_name;   
show grant role role_name on [table] t_name;

--将角色拥有的权限赋予用户(linux)
grant role admin_role to user zhaoshun;
revoke  role  admin_role from user  zhaoshun;

--查看某个用户所有角色
show role grant user user_name;  

--将角色拥有的权限赋予组(linux),属于该组的用户具有该角色的权限
grant role admin_role to group create_select_group;
revoke  role admin_role from  group create_select_group;

也可以跳过角色直接是: 数据库/表 ->用户/组->用户

-也可以跳过角色,直接将数据库或者表的权限直接赋值个用户或者组

grant select on database xxx to user testuser2;
revoke  select on database xxx from  user testuser2;

grant select on database xxx to group testuser2;
revoke  select on database xxx  from  user testuser2;

grant select on table ttt to user testuser2;
revoke  select on table ttt from  user testuser2;

grant select on table ttt to group testuser2;
revoke  select on table ttt  from  user testuser2;

其他一些可能使用到的语句或工具:

create table xxx_ttt2(
name string,
age string
) row format delimited 
fields terminated by '\t'; 

ansible ah -m shell -a "useradd testcs_user"
ansible ah -m shell -a "echo '123456'  | passwd --stdin testcs_user"

 

转载于:https://my.oschina.net/u/816457/blog/1538585

choudan1531
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hive权限设置说明
07-17
CDH平台,通过hue访问hive控制库级别,表级别,及列级别的访问权限
HDFS中将普通用户增加到超级用户组supergroup以及其应用场景
热门推荐
冯立彬的博客
08-31 2万+
Hadoop平台会集成不同的组件,如hdfs、yarn、hive等,不同用户的操作权限不同,除了hdfs是超级用户以外,其它用户都默认是普通用户权限,但是有些场景之下,我们希望普通具有具有hdfs的超级权限,如我oozie中调试shell任务,其中shell调用sqoop从数据中导入数据到hive中,其后会通过Yarn来执行MapReduce这么一个过程,不过Yarn在执行的时候,会在hdfs的/...
hive库中,命令行给用户赋权
one_uueu的博客
12-15 2784
hive库的表赋权给其他租户 grant select,update,insert,delete on USER1.user to USER2; 将用户1下的user表的增删改查权限给用户2; revoke select,update,insert,delete on USER1.user from USER2; 将用户1下的user表的增删改查权限从用户2移除; ...
hive 授权/回收
weixin_41257109的博客
12-18 1288
Hive
hive 授权
疯狂的矩阵
07-15 1359
Hive授权(Security配置) 博客分类: Hive分享 摘:https://cwiki.apache.org/Hive/languagemanual-auth.html https://cwiki.apache.org/Hive/authdev.html http://grokbase.com/t/hive/user/11aksphhas...
大数据Hive系列之Hive用户权限管理
arne's Blog
06-28 4875
1. 角色 创建角色 create role role_name; 显示角色 show roles; 删除角色 drop role role_name; 2. 用户 * 用户进入admin角色权限 set hive.users.in.admin.role; set role admin; 查看某用户的所有角色 show role grant user user_name 给角色添加用户 gran...
Hive权限设置说明文档.doc
09-24
要访问 Hive,需要通过 Hue 进行身份验证和权限控制。下面是具体的设置步骤: 1. 创建 Hue 用户和组:使用 Hue 管理员账号登录 Hue,创建用户和组,设置用户名、密码和组别。 2. 配置 Hive 权限:在 hive-site.xml ...
Hive权限设置说明文档
09-25
一、Hive权限模型 Hive权限模型主要基于SQL标准的访问控制,包括了四种基本权限:SELECT、INSERT、UPDATE和DELETE,以及两种全局权限:CREATE和DROP。此外,还有ALTER权限用于修改表或数据库的属性,以及INDEX...
MLSQL编译时权限控制示例详解
09-09
在本文中,我们将深入探讨MLSQL的编译时权限控制机制,它实际上是指解析时权限控制,因为MLSQL是一种解释性执行语言。这个功能对于确保数据安全性和合规性至关重要,尤其是在多用户环境中。权限控制在MLSQL中的重要...
hive的安装与配置头歌.zip
最新发布
06-05
例如,可以通过设置多个 metastore 服务实现高可用,通过 Sentry 或 Ranger 提供数据访问权限控制,通过调整执行引擎(如 Tez、Spark)和并行度参数来优化查询性能。 总之,Hive 的安装与配置是一个涉及多步操作的...
hive设置权限
邢宁
01-12 3682
一、修改hive配置文件 vim hive-site.xml <property> <name>hive.files.umask.value</name> <value>0002</value> </property> <property> <name>hive.metastore.authorization.storage.checks</name> <value>tr
Hive赋予用户查询某表权限
qq_41802055的博客
06-25 3077
Hive赋予用户查询某表权限 grant select on table 库名.表名 to user 用户名 ; 展示用户查询表权限 show grant user 用户名 on table 表名.库名 ;
hive创建角色并赋权
lilinxi001的博客
09-08 6531
1 角色管理命令 1.1 创建角色 创建一个新角色,需要 admin 用户创建 CREATE ROLE role_name; 1.2 删除角色 删除一个角色,需要 admin 用户创建 DROP ROLE role_name; 1.3 显示当前角色 显示用户当前角色列表 SHOW CURRENT ROLES; 1.4 设定角色 如果指定了role_name,则该角色将成为当前角色中的唯一角色 将Role_Name设置为All将刷新当前角色的列表(在新角色被授予用户的情况下),并将其设置为默认的
hive用户权限以及表权限实现思路
帆了个帆的专栏
09-26 1万+
hive权限系统 hive本身提供的权限的系统是基于linux用户构建的,带来的问题就是,用户可以伪造账号访问数据,这样的话权限系统形同虚设;所以通常情况下,公司一般都会使用kerberos+sentry这种架构构建数据仓库;这就需要数据团队有比较强的技术实力[kerberos这玩意玩起来挺费劲的],但是大多数公司可能用上了大数据,但技术储备不够完善;所以我在想如何在不适用这些插件,也能实现这些功...
grant授权语句
CathyLou的博客
05-25 1万+
看下面的详细介绍,主要是介绍如何把添加、删除、修改、查询四种权限授予用户,如下: 一、insert insert权限允许在其他用户的表中建立行。语句grant insert on sample_a to public;允许所有用户在sample_a中建立新的行。Oracle允许在单条grant语句中授多个权限,SQL语句grant insert,select on sample_a t
Hive授权(Security配置)
valder fields
05-08 996
  摘:https://cwiki.apache.org/Hive/languagemanual-auth.html        https://cwiki.apache.org/Hive/authdev.html        http://grokbase.com/t/hive/user/11aksphhas/authorization-and-remote-connectio...
~~南瓜55555先生~~Hive权限之常见语句
qq_27935743的博客
05-18 1414
Hive权限之常见语句 一、角色相关 1.切换管理员角色 set role admin; 2.显示所有角色 show roles; 3.显示当前用户的所有角色 show current roles; 4.创建角色 create role XXX; 5.删除角色 drop role XXX; 6.查看已授权该角色的用户、角色 show principals XXX; 注意:hive中...
Hive用户权限管理
qq_34158880的博客
07-27 2867
Hive用户权限管理
hive权限管理整理
lituao_lt的博客
11-21 1万+
常用命令 bin/beeline -u jdbc:hive2://bigdata-senior01.ibeifeng.com:10000 -n admin -p admin 创建和删除角色 CREATE ROLE ROLE_NAME 删除角色: DROP ROLE ROLE_NAME 把role_test1角色授权给jayliu用户,命令如下 grant role role_te
hive如何权限控制
08-18
Hive可以通过元数据的权限管理和文件存储级别的权限管理来实现权限控制。在使用Hive的授权机制之前,需要在hive-site.xml中设置两个参数:hive.security.authorization.enabled和hive.security.authorization.create...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值