Hive权限之改进

最新推荐文章于 2021-06-02 16:15:58 发布
最新推荐文章于 2021-06-02 16:15:58 发布
阅读量1.8k 收藏 1
点赞数 2
分类专栏: BigData 文章标签: hive MetaData 权限 改进
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jinjiating/article/details/37341805
版权

不足

即使开启hive权限认证的情况下,任何用户仍然是超级用户,可以通过grant给任何人赋予任何权限,这样权限认证基本没有意义,因此必须在开启权限认证的同时,对执行grant/revoke的实体进行限制,比如只有admin才能 grant privilege on database,只有table owner才能grant privilege on tableBIPhive目前是没有开启权限认证的。

改进

针对hive权限的不足以及biphive的使用场景,改进后的hive权限认证有一个拥有超级权限的角色admin_role, 即admin_role拥有没有开启权限认证时候一样的所有权限,拥有admin_role的用户就是admin,而普通用户只有是某个实体的owner或者被grant相应的权限时才能在这个实体上进行对应的操作,具体体现在一下几点:

1、 DB上的权限:BIPhive_warehouse中只有一个DB,也即默认的DB default,只有admin才能对DB上权限进行管理,主要有:create/drop databasegrant/revoke privilege on database

2、 Table/Column上的权限:普通用户只有在被pplive grant create on database后才能创建表,一个表在被创建后,admin_roleowner拥有all也即所有的权限,同时只有对table拥有all权限才能grant/revoke privilege on table,其他用户或拥有的rolegrant相应权限后就能进行对应的操作

3、 Role上的权限:只有admin_role才有权create/drop role,因此也就只有admin才能对role进行权限相关的操作

4、 只有admin_role拥有代理权限,即admin_role可以转换为bip.user用户进行hive的一切操作,此时创建、读写表都是以代理的bip.user的身份去执行,适用于bip web场景

 

Hivehql的解析主要有词法分析、语法分析、语义分析和执行四步,词法分析和语法分析主要是形成抽象语法树AST,确保hql语法的正确性,语义分析则是将AST翻译成task并分析task间的关系形成有向无环图DAG,最终执行引擎则将DAGtask提交给Hadoop执行并监控task的执行状态。Hive通过在语义分析中进行权限验证,检查用户是否对执行hql所操作的tablecolumn有相应的权限,同时开放了hook让我们可以对语义分析的输入和输出进行操作,以下属性可以配置语义分析hook类:

<property>

<name>hive.semantic.analyzer.hook</name>

   <value>com.bip.hive.auth.AuthHook></value>

</property>

语义分析hook类须继承抽象类AbstractSemanticAnalyzerHook,可实现preAnalyze进行语义分析前检查,实现postAnalyze进行语义分析后操作,而自定义的操作限制是在preAnalyze中实现,利用语义分析后结果自定义权限规则可在postAnalyze中实现。我们在Semantic Hook中获取用户的身份,判断用户是否能执行某种操作,进而区分了admin和非admin的执行权限。

preAnalyze限制操作类型代码示例:

public ASTNode preAnalyze(HiveSemanticAnalyzerHookContext context,
ASTNode ast) throws SemanticException {
String userName = null;
// userName = context.getUserName();
//String command = context.getCommand();
if (SessionState.get() != null
&& SessionState.get().getAuthenticator() != null) {
userName = SessionState.get().getAuthenticator().getUserName();
}

switch (ast.getToken().getType()) {
case HiveParser.TOK_CREATEDATABASE:
case HiveParser.TOK_DROPDATABASE:
case HiveParser.TOK_CREATEROLE:
case HiveParser.TOK_DROPROLE:
case HiveParser.TOK_GRANT_ROLE:
case HiveParser.TOK_REVOKE_ROLE:
case HiveParser.TOK_CREATETABLE:
case HiveParser.TOK_DROPTABLE:
if (!AdminManager.isAdmin(userName)) {
throw new SemanticException(userName + " is not admin, expect admin privilege");
}
break;

case HiveParser.TOK_GRANT:
case HiveParser.TOK_REVOKE:
if(!AdminManager.isAdmin(userName)) {
int childCount = ast.getChildCount();
if(childCount>2) {
for (int i = 2; i < ast.getChildCount(); i++) {
ASTNode astChild = (ASTNode) ast.getChild(i);
if (astChild.getType() == HiveParser.TOK_PRIV_OBJECT && !grantRevokeCheck(astChild, userName)) {
throw new SemanticException(userName+" doesn't have grank/revoke privilege on the table ");
}
}
}
}
break; 
default:
break; 

return ast;
}

postAnalyze自定义权限检查代码示例:

public void postAnalyze(HiveSemanticAnalyzerHookContext context,List<Task<? extends Serializable>> rootTasks) throws SemanticException {
Hive hive = null;
try {
hive = context.getHive();
} catch (HiveException e) {
e.printStackTrace();

throw new RuntimeException(e);
}
Set<ReadEntity> inputs = context.getInputs();
Set<WriteEntity> outputs = context.getOutputs();

Set<String> readTables = new HashSet<String>();
for(ReadEntity input : inputs) {
Table table = input.getT();
if(table!=null) {
readTables.add(table.getTableName());
}
}

Set<String> writeTables = new HashSet<String>();
for(WriteEntity output : outputs) {
Table table = output.getT();
if(table!=null) {
writeTables.add(table.getTableName());
}
}

String userName = SessionState.get().getAuthenticator().getUserName();
logger.debug(String.format("%s execute %s, read tables:%s, write tables:%s", userName, context.getCommand(), readTables, writeTables));
privDataProvider.checkHivePriv(userName, readTables, writeTables);
}


Hive默认使用HadoopDefaultAuthenticator获取执行hql的用户,并使用其返回的用户进行权限验证。为了使hive能够以代理的模式去执行,我们需要提供自己的authenticator,返回设置的bip.user作为真正的hql执行者,以下配置可设置authenticator

<property>

  <name>hive.security.authenticator.manager</name>

  <value>com.pplive.bip.hive.auth.Authenticator</value>

  <description>bip user authenticator</description>

</property>

目前admin通过在hive命令行定义bip.user变量启动hive可进入代理模式:

Hive -d bip.user=xxx 或 hive --define bip.user=xxx

Memo

Hive也提供group权限管理功能,在role已经能够满足需求的情况下不建议进行group相关的权限管理。

通过对hive权限管理的改进,可以防止非法用户对没有权限的表、列进行读写删除操作,同时可以对执行的hql进行审计,分析hql的执行时间和频率以及hive表的使用频率。

基于MetaData的权限管理相关的权限信息是存储在hive metadata中,其实也可以将权限信息存储在我们自己db中,这样就能自己把握权限控制的规则,不用开启hive的权限控制,在SemanticAnalyze之后基于我们的规则对hql所读写的表、字段进行控制。

然而,即使是改进后的hive权限依然较弱,因为hive所有权限相关的信息都存储在MetaData中,只要用户知道了存储MetaData的Mysql用户名和密码就可以任意修改权限MetaData, 而连接MetaData Mysql的信息在hive-site.xml中是明文配置的,因此最安全权限是基于Storage底层的访问控制。

 


ImproveJin
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hive jdbc权限不够_Hive及其相关大数据组件
weixin_42518453的博客
01-03 366
将介绍Hive及其相关的大数据组件。之所以引入这个章节的内容,是因为Hive是构建在Hadoop大数据平台之上,Hive数据存储依赖于HDFS, HiveSQL的执行引擎依赖于MapReduce、Spark、Tez等分布式计算引擎,Hive作业的资源调度依赖于YARN、Mesos等大数据资源调度管理组件。如果脱离Hadoop生态单聊Hive优化,那无异于隔靴搔痒,解决不了根本的性能问题。...
解决hive以及impala执行权限不足的问题
浮生、佐以酒
07-10 2448
在我们hive当中执行任意的查询,只要是需要跑MR的程序,就会报错,发现权限不够的异常 INFO : Compiling command(queryId=root_20180625191616_d02efd23-2322-4f3d-9cb3-fc3a06ff4ce0): select count(1) from mystu INFO : Semantic Analysis Completed ...
hive权限问题
myloveprogrmming的博客
12-17 520
更详细的解释:https://blog.csdn.net/yuhan61659/article/details/80590227   在mysql中写: 【1】 grant all privileges on *.* to 'root'@'item1'  identified by '123456' with grant option; item1为主机名 ''中为root用户的密码 【...
执行 hive 权限问题
zhoujj303030的专栏
04-13 1234
执行 hive 的时候: Caused by: java.sql.SQLException: null,  message from server: "Host 'test75' is not allowed to connect to this MySQL server" 没有权限: mysql> grant all privileges on  hive.* to root@"%
关于Hive的授权研究
weixin_45076240的博客
10-15 728
关于Hive的授权研究 因为最近在学习hive的相关知识,就把最近看的一些资料总结了以下,使用的hive是3.1.2版本,应该是比较新的,所以如果文章有不对的地方,希望大佬指正。 Hive权限控制 简介: Hive的真实数据存储在Hadoop的HDFS文件系统中,Hive构建逻辑表。 Hive的元数据存储在Mysql当中。 Hive默认的Derby数据库,由于是内嵌的文件数据库,只支持一个用户的操作访问,支持多用户需用mysql保存元数据。并且存在找不到原有创建的数据库和表的信息,所以会将默认的Der
hive3.1.2+mysql驱动.zip
01-05
Hive 3.1.2是Hive的一个稳定版本,它引入了许多改进和新特性,例如增强的性能、更高的并发性和更好的容错性。 在Hive中,元数据(如表的结构、分区信息等)的存储通常有两种方式:本地元数据存储和远程元数据存储。...
hive-jdbc-uber-3.1.2+yanagishima-18.0
06-26
Yanagishima不仅简化了对Hive、Presto和Trino等查询引擎的接口,还提供了权限控制,确保只有授权用户可以执行查询。它的核心功能包括SQL查询的提交、结果的展示以及查询历史的记录,为数据分析团队提供了一个便捷的...
apache-hive-2.0.0
03-24
这个版本包含了 Hive 在 2016 年发布的一些重要改进和新特性。例如,它可能包括对性能的优化、新功能的添加以及对旧版本的 bug 修复。学习此版本的源码可以帮助你理解 Hive 如何处理大数据查询,如何与 Hadoop 生态...
hive-3.1.2&mysql-5.7.2安装包.rar
06-08
3.1.2 版本的 Hive 带来了性能优化和新的功能,例如支持更多的 SQL 标准,改进了查询执行效率。 2. **mysql-connector-java-5.1.37.jar**:这是 MySQL 数据库的 JDBC 驱动程序,用于在 Java 应用程序中连接到 MySQL...
apache-hive-2.3.7-bin 博客同款
12-18
Hive 2.3.7 版本相较于早期版本可能包含了一些改进和修复,例如优化查询性能、增强安全性以及增加新的功能。对于大数据分析师和数据工程师来说,熟悉 Hive 是理解和操作 Hadoop 生态系统的关键部分,特别是在处理大...
HIVE】Hook(钩子)函数从入门到放弃
Zsigner的博客
03-30 7869
背景:初衷是源于对hive hook(钩子)函数的一知半解,在跟大佬交流过程中恨自己理解的不够深入(丢脸了,丢脸这件事一次就够了哈),故写下了这篇文章自省也希望大家可以从中学习 1、了解hive hook 需要先了解hive的整体是怎么运行的,我们先来看看我们平时写下的一句句hql是怎么运行的吧 图来自:https://cloud.tencent.com/developer/article/1676816 1.0、具体处理流程如下: HQL解析生成AST语法树 Antlr定义SQL的语法规.
ambari hive创建udf失败问题解决
LZX的博客
06-02 1911
问题描述: Amabri 2.7.4 hive 3.1.0 hive Authorization用了默认 ,试过sqlstdauth也报错 hive执行添加udf命令报错 Error: Error while compiling statement:FAILED: HiveAccessControlException Permission denied: Principal [name=root,type=USER] does not have following privileges for opera
Hive权限控制和超级管理员的实现
weixin_33774308的博客
06-20 766
Hive权限控制 Hive权限机制: Hive从0.10可以通过元数据控制权限。但是Hive权限控制并不是完全安全的。基本的授权方案的目的是防止用户不小心做了不合适的事情。  先决条件: 为了使用Hive的授权机制,有两个参数必须在hive-site.xml中设置: &lt;property&gt; &lt;name&gt;hive.security.authoriza...
hive权限管理
热门推荐
zqqnancy的专栏
07-08 3万+
环境: HDP2.4 ,hive-1.2.0, ambari统一管理 目前hive支持简单的权限管理,默认情况下是不开启,这样所有的用户都具有相同的权限,同时也是超级管理员,也就对hive中的所有表都有查看和改动的权利,这样是不符合一般数据仓库的安全原则的。下面来介绍HIVE权限管理。 Hive用户 1. Hive作为表存储层。     使用对象:Hive's HCatalog
go hive skynet_学习云风的skynet
weixin_39785524的博客
12-22 178
研究了一下云风大神的skynet大神的技术博客写得跟他名字一样飘逸,说实话单看博客我完全不知所云。所以我只好看代码了。其实看了代码再回头看客博还是看得懂的。果然代码才是程序员的通用语言啊skynet是什么?按我的理解应该算是一个底层的消息通信框架。其实就是一个RPC的系统。"所谓 RPC 调用,就是一个远程对象加一个方法名,加上若干参数。通过序列化方法,打包成一个数据包,查询到远程对象所在的服务地...
Hive鲜为人知的宝石-Hooks
大数据星球-浪尖
08-18 8305
本来想祝大家节日快乐,哎,无奈浪尖还在写文章。谴责一下,那些今天不学习的人。对于今天入星球的人,今天调低了一点价格。减少了20大洋。机不可失失不再来。点击阅读原文或者扫底...
云风coroutine库源码分析
嘿嘿
04-21 306
coroutine库是云风大佬以前写的一个协程库,短小精悍,源码分析在这(https://github.com/theanarkh/read-coroutine-code)。今天就分析一下这个库的原理。话不多说,直接开始。 首先了解一下数据结构。 //记录协程公共数据的结构体 structschedule{ //协程的公共栈 charstack[STACK_SIZE]...
GoldenGate安装、配置、实例化
wzy0623的专栏
12-27 3938
一、环境两台Oracle VM VirtualBox虚拟机host:master1、master2IP:192.168.1.1、192.168.1.2OS:Linux 2.6.32 DB:Oracle 11.2.0.3,启用归档OGG:ogg112101_fbo_ggs_Linux_x64_ora11g_64bit 2.2.3二、安装OGG在master1、master2两台上执行以下步骤:1.
hive如何权限控制
最新发布
08-18
Hive可以通过元数据的权限管理和文件存储级别的权限管理来实现权限控制。在使用Hive的授权机制之前,需要在hive-site.xml中设置两个参数:hive.security.authorization.enabled和hive.security.authorization.create...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值