如何使用Sentry实现Hive/Impala的数据脱敏

最新推荐文章于 2023-11-15 20:01:57 发布
最新推荐文章于 2023-11-15 20:01:57 发布
阅读量201 收藏
点赞数
分类专栏: 大数据 文章标签: sentry hive hadoop
原文链接:https://cloud.tencent.com/developer/article/1079042
版权

1.文档编写目的

本文主要描述如何使用Sentry实现数据的脱敏(masking of sensitive data elements),高大上的叫法也就是Data Masking。数据脱敏主要是指将原始数据的全部或者部分敏感值进行替换。这样避免了用户未经授权而直接访问原始的值,并保留了底层数据的schema。

灵活的数据脱敏方案应该是底层数据真实的值没有被脱敏,当有用户查询数据时则判断是否屏蔽,取决于用户的具体权限。我们可以使用Sentry控制视图的权限来实现数据脱敏。

本文Fayson会以一个简单的实操例子来介绍如何使用Sentry实现Hive/Impala的数据脱敏。

内容概述

1.环境准备及描述

2.创建脱敏视图

3.权限分配及测试

4.总结

测试环境

1.CM和CDH版本为5.13.1

前置条件

1.集群已启用Kerberos

2.集群已启用Sentry

2.环境准备

准备数据节点使用Hive的超级管理用户来创建employees表及employees_mask视图。

1.准备测试数据

[root@ip-172-31-16-68 datamasking]# vim employees.csv
1,John Smith,123-55-4567,25000.0
2,Jim Bloggs,999-88-7777,35000.0
3,Jane Doe,808-88-0880,45000.0

2.创建一个Hive外部表

CREATE EXTERNAL TABLE employees
(key INT, fullname STRING, ssn STRING, salary FLOAT)
ROW FORMAT DELIMITED
FIELDS TERMINATED BY ','
LOCATION '/extwarehouse/data/employees/';

在命令行是用beeline连接HiveServer2

[root@ip-172-31-16-68 datamasking]# beeline 
beeline> !connect jdbc:hive2://ip-172-31-24-169.ap-southeast-1.compute.internal:10099/;principal=hive/ip-172-31-24-169.ap-southeast-1.compute.internal@FAYSON.COM

3.将数据加载到外部表employees的HDFS目录

[root@ip-172-31-16-68 ~]# cd datamasking/
[root@ip-172-31-16-68 datamasking]# ll
total 8
-rw-r--r-- 1 root root  97 Mar 15 23:12 employees.csv
-rw-r--r-- 1 root root 173 Mar 15 23:22 employees.sql
[root@ip-172-31-16-68 datamasking]# hadoop fs -put employees.csv /extwarehouse/data/employees/
[root@ip-172-31-16-68 datamasking]# hadoop fs -ls /extwarehouse/data/employees/
Found 1 items
-rwxrwx--x+  3 hive hive         97 2018-03-15 23:28 /extwarehouse/data/employees/employees.csv
[root@ip-172-31-16-68 datamasking]#

4.验证employees表数据是否正常

3.创建脱敏视图

1.通过视图的方式将employees表中的ssn数据进行脱敏处理,SQL如下:

CREATE VIEW employees_masked AS
SELECT key,
       fullname,
       CONCAT('***-**-', SUBSTR(ssn, 8, 4)) AS ssn,
       "PRIVATE" AS salary
FROM employees;

2.在命令行通过Beeline使用Hive管理员用户登录HiveServer2,进行创建视图操作

3.执行SQL查看视图数据

4.创建未脱敏视图

CREATE VIEW employees_unmasked AS
       SELECT key, fullname, ssn, salary
FROM employees;

查看未脱敏视图数据

4.权限分配及测试

如上图所示,我们现在访问数据一共有4个入口包括HDFS文件,表以及2个视图。最终用户不能访问文件或者表,仅仅被赋权访问视图,然后视图对应到相应的数据遮蔽逻辑。我们通过Sentry来控制Hive/Impala的表或视图的访问,通过Sentry的HDFS ACL同步功能防止用户绕过Hive/Impala去直接访问底层文件。

通过上图可以看出Group A可以访问视图employees_unmasked里未经遮蔽的数据,但是不能直接访问表employees,当然也不能访问底层文件。当然Group A也被授权可以访问视图employees_masked,比如他想将数据下发时做敏感数据脱敏,则也可以从这个视图里取出数据。

而Group B只能访问employees_masked视图里的数据,这个是有敏感数据被屏蔽了的,因为Sentry的控制,他没权限直接访问employees表或者通过HDFS文件去获取真实的被屏蔽的值。

1.创建faysona和faysonb用户对应上图的Group A和Group B

2.使用Hue管理员账号登录创建faysona和faysonb用户

3.使用hive用户登录Hue给faysona和faysonb用户分别授权

4.使用faysona用户登录Hue查看employees_unmasked和employees_masked视图数据

Hive引擎查询employees_masked脱敏视图数据

Hive引擎查询employees_unmasked未脱敏视图

Impala引擎查询employees_masked脱敏视图数据

Impala引擎查询employees_unmasked未脱敏视图数据

在命令行使用faysona用户访问employees表的数据文件

[root@ip-172-31-16-68 ~]# kinit faysona
[root@ip-172-31-16-68 ~]# hadoop fs -cat /extwarehouse/data/employees/employees.csv

5.使用faysonb用户登录Hue

Impala引擎查询employees_masked脱敏视图数据

Hive引擎查询employees_masked脱敏视图数据

在命令行使用faysonb用户访问employees表的数据文件

[root@ip-172-31-16-68 ~]# kinit faysonb
[root@ip-172-31-16-68 ~]# hadoop fs -cat /extwarehouse/data/employees/employees.csv

5.总结

  • 为Hive数据进行脱敏处理可以使用regexp_replace()函数通过正则表达式的方式敏感数据屏蔽,也可以通过自定义的UDF函数来等方式来实现敏感数据脱敏。
  • 通过脱敏SQL创建视图,使用Sentry权限控制将脱敏数据的视图提供给不同的用户访问
  • 授权访问视图(即使授权ALL)的用户也无权限访问相应表的底层数据文件。

参考:

http://blog.cloudera.com/blog/2013/07/with-sentry-cloudera-fills-hadoops-enterprise-security-gap/

csdn-延
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hive数据库字符串脱敏函数mask使用方法
duanhwonline的专栏
04-23 288
请注意,以上表格中的自定义掩码参数示例仅展示了如何使用这些函数,具体返回值可能因 Hive 版本和具体实现细节有所不同。
Hive小表的测试数据
07-31
Hive支持Apache Sentry或Kerberos等安全机制,确保数据访问的安全性。 综上所述,"Hive小表的测试数据"涉及到的不仅包括数据的导入、存储和查询,还涵盖了性能优化、查询策略和安全性等多个方面。理解和掌握这些...
数据脱敏Hive一个函数搞定
pengpengsays
01-05 3291
数据屏蔽函数(Data Masking Functions) Hive在2.1.0版本后,支持数据屏蔽函数(Data Masking Functions),可以用于数据的快速掩码处理(脱敏)。 比如mask函数,默认会将查询回的数据,大写字母转换为X,小写字母转换为x,数字转换为n。当然也可以添加参数自定义转换的字母mask(string str[, string upper[, string lower[, string number]]]),upper定义大写字母转换,lower定义小写字母转换,nu
Sentry过滤敏感数据
lc的大脑备份
10-17 1506
与任何第三方服务一样,了解向Sentry发送的数据非常重要,并且在相关时确保敏感数据永远不会到达Sentry服务器,或者至少不会存储。我们解决这个问题的主要方法是一种悲观的观点:你不小心将数据发送到Sentry,你想要删除它,或者你想确保它不被存储。 一、服务端过滤 在项目设置中,您将找到Data Scrubber选项。默认情况下启用此功能,我们强烈建议您保持这种状态。启用它后,Sentry将...
impala/hive脱敏导数方法,建表跟hdfs路径关联
自律
07-28 558
经常使用脱敏规则 1.md5()函数加密,需要用hive,用hive容易报内存不足,set mapreduce.map.memory.mb=1024的倍数 2.保留第一位,后面用*代替 concat(strleft(coalesce(Cst_no ,''),1),regexp_replace(substr(coalesce(Cst_no ,''),2),'.','*')) 脱敏导数常用方法 1.导出格式化数据到文本文件,(有表头,字段间分割),可以直接浏览数据 ①
Hadoop2.6新增用户隔离 hdfs权限介绍
JacksonKing的专栏
11-24 501
Hadoop2.6新增用户隔离 1.hadoop文件权限介绍#   (这部分内容参考成品 https://blog.csdn.net/skywalker_only/article/details/40709447) 之前在论坛看到一个关于HDFS权限的问题,当时无法回答该问题。无法回答并不意味着对HDFS权限一无所知,而是不能准确完整的阐述HDFS权限,因此决定系统地学习HDFS文件权限。HDFS的文件和目录权限模型共享了POSIX(Portable Operating System Interfa.
Hive结合Apache Ranger进行数据脱敏
Carson073的博客
04-18 1072
Apache Hive是构建在Hadoop之上的数据仓库,支持通过SQL接口查询分析存储在Hadoop中的数据。在Hive出现之前,数据分析人员需要编写MapReduce作业分析Hadoop中的数据,这种方式繁琐低效,对数据分析人员不友好,因为数据分析人员大部分比较精通SQL,但是编程功底较浅。在这种背景下,2007年Facebook在论文。
手动解决Cannot find module '@sentry/webpack-plugin'等问题
10-06
解决Cannot find module '@sentry/webpack-plugin',Cannot find module '@sentry/browser',Cannot find module '@sentry/cli'等问题。<br/> 下载后,解压后文件夹,放在vue项目的node_modules文件夹下,即可。
sentry-wizard:Sentry项目设置向导
02-04
哨兵向导帮助您使用Sentry设置项目用法用npm或yarn安装npm install @sentry/wizard在您的项目中致电sentry-wizard ,并按照说明进行操作。选件Options: --help Show help [boolean] --version Show version number ...
0439-Hive启用Sentry后如何限制用户提交Yarn资源池
01-07
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。 Fayson的github: https://github.com/fayson/cdhproject 提示:代码块部分可以左右滑动查看噢 1.文档编写目的 在...
sentry-cli:与Sentry一起使用的命令行实用程序
01-30
sudo npm install -g @sentry/cli --unsafe-perm 默认情况下,该软件包将从管理的CDN中下载sentry-cli。 要使用自定义CDN,请设置npm config属性sentrycli_cdnurl 。 下载器将附加"/<version>/sentry-cli-<dist>" ...
胡克秋-TonY:原生于Hadoop的深度学习执行框架-脱敏.pdf
02-06
大数据深度学习
Hive的Udf函数进行数据脱敏
01-26
udf开发–做个简单脱敏udf保留前5位,后面全部替换成*****
* hive脱敏UDF函数 *对一些敏感信息进行脱敏处理,替换位置可自定义,脱敏符号可随机也可自定义
04-28
* 脱敏UDF函数 * 功能:对一些敏感信息进行脱敏处理,替换方式可选择自定义替换,如'#','*'等,,如不指定脱敏符号,使用个随机字符替换 * 脱敏位置可自定义,不指定位置,会对数据进行全脱敏 * 例如身份证信息: 411421199508186496 * 脱敏后:411***1995****649*
HiveQL函数7—数据脱敏函数(Data Masking)
MAYIBO—BG的专栏
01-21 4631
目录1.mask(string str[, string upper[, string lower[, string number]]])2.mask_first_n(string str[, int n])3.mask_last_n(string str[, int n])4.mask_show_first_n(string str[, int n])5.mask_show_last_n(str...
Hive 实现脱敏以及ETL 过程(开启kerberos)
热门推荐
Stay Focused And Work Hard !!!
08-18 1万+
业务场景及实现原理: 通过采集工具将用户数据采集到 Hive 库;如果将数据采集到Hbase表,再通过Hive创建对应的外部表关联Hbase表,这个场景同样适用,只不过脱敏后的数据将存在Hive中而不是Hbase中。 将 采集到的Hive 数据进过一定的脱敏算法将数据共享出去; 为了防止请求被非法模仿,因而编写了一个访问Ip 鉴权类,也就是设置了访问ip白名单,只有在白名单上的ip才可以访问接...
2023.11.16 hivesql 函数之类型转换,脱敏,与加密函数
最新发布
白白的wj的博客
11-15 838
cast:主要用于类型转换,如果转换失败则返回null很多时候,底层也默认做了自动转换实际应用场景:concat_ws用指定分隔符拼接到一起生成新的字符串,但拼接的内容必须是字符串类型,所以可以用cast来先进行类型转换。
hive自定义函数-基于位置的数据脱敏
qq_31275419的博客
10-19 707
hive自定义函数-基于位置的数据脱敏简要代码 简要 该函数, 1.若想自动脱敏,可以仅传入数据即可 2.若想通过自己传入位置脱敏,又不想报错,可以传入数据,开始位置,结束位置即可 3.若想通过自己传入位置脱敏,且不和规数据不脱敏,代码报错,可以基于2,传入false 代码 package com.bigdata.hive.udf; import com.bigdata.hive.Tools.StringTools; import org.apache.hadoop.hive.ql.exec.Descri
Hive的函数操作(数值函数、集合函数、类型转换函数、日期函数、条件函数、字符串函数、数据脱敏函数,其他函数等)
2202_75347029的博客
09-08 844
Hive的函数分为两大类:内置函数(Built_in Functions)用户自定义函数UDF(User_Defined),Hive函数总计有100多种,详细内容可前往 官方文档查看。取随机数函数:select rand() 返回一个0-1范围的随机数。指定精度取整:select round(double a,int b)日期相减 : date_sub('2008-12-31', 1) = '2008-12-日期相加 : date_add('2008-12-31', 1) = '2009-01-
java sentry使用教程_基于Sentry实现数据访问权限控制
05-31
5. 实现数据访问控制:在代码中使用Java Sentry提供的API来实现数据的访问控制,如检查用户是否具有数据访问权限、添加用户到指定角色等。 以下是一个示例代码: ```java // 设置Java Sentry配置 SentryConfig ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值