策略
HDFS
- 添加HDFS策略
您可以从HDFS策略列表页面为特定服务添加新策略。添加时,该策略应列在下表中。您可以通过提供的搜索过滤器搜索策略。
第1步 :单击列表页面上的“添加新策略”按钮
第2步:创建政策表格
| 标签 | 描述 |
| Policy Name | 输入适当的策略名称。对于相同的服务类型(HDFS),不能复制此名称。此字段是必填字段。 |
| Resource path | 定义文件夹/文件的资源路径。您可以添加/ home *之类的通配符,以避免编写完整路径以及为所有子文件夹或文件启用策略 |
| Description | 您可以包含要创建的策略的说明 |
| Recursive | 您可以指示现有文件夹中的所有文件或文件夹是否属于该策略。可以用来代替通配符 |
| Audit Logging | 指出是否审核此政策 |
| Group Permissions | 从用户组列表中,选择一个特定组并选择该组的权限。 |
| Enable/disable | 默认情况下,策略已启用。您可以禁用策略以限制该策略的用户/组访问权限。 |
| User Permissions | 从用户列表中,选择特定用户并为该用户选择权限。 |
| Delegate Admin | 将策略分配给用户或一组用户时,这些用户将成为委派的管理员。委派的管理员可以更新,删除策略。它还可以根据原始策略(基本策略)创建子策略 |
- 创建策略时的权限
|
|
|
|
|
|
|
|
第3步:使用唯一ID创建策略
编辑/删除HDFS策略
- 您可以通过单击策略行旁边的编辑/删除按钮从HDFS策略列表页面编辑/删除策略。
HDFS政策示例
- Ranger允许(通过配置)允许检查Ranger策略和HDFS权限以获取用户请求。在namenode中收到用户请求时。Ranger插件将检查通过Ranger管理员设置的策略。如果没有策略,Ranger插件将检查HDFS中设置的权限。 建议在HDFS级别具有限制性权限,并在Ranger安全管理员中创建权限。
示例1: Ranger中的策略
步骤1:在下面的示例中,我们使用资源路径/ home创建策略“HDFS_POLICY”,其中包含读取,写入,执行,委托管理权限并将其分配给标记。
- 以' mark ' 用户身份登录并尝试创建目录主页。用户将被允许创建目录,因为它具有对资源路径/ home的策略'HDFS_POLICY'的读,写和执行权限
- 记录操作。如果授予权限,结果将变为“允许”,如果权限被拒绝,则结果将被“拒绝”。
- 在下面的示例中,我们使用具有读取权限的资源路径/ hadoop创建策略“HDFS_POLICY”,并将其分配给用户“mark”。
- 当用户尝试在资源路径中创建目录时,应用程序会抛出权限被拒绝的错误。
- 由于用户没有写入权限,因此在为操作生成的日志中,结果将被“拒绝”。请注意“Access Enforcer”列将显示强制执行者(ranger-acl或hadoop-acl)
示例2: Ranger中没有策略,HDFS中的权限
- 没有为HDFS组件服务的策略
- 当用户'mark'尝试在资源路径应用程序中创建名为'directory'的目录时,会引发错误。
- 如果在为操作生成的日志中拒绝权限,则结果将被“拒绝”。
hive
- 添加HIVE政策
- 您可以从Hive策略列表页面添加新策略。添加时,该策略应列在下表中。您可以按“Database Name”,“Table”,“Column”,“Groups name”,“policy name”,“status,“user name”,“udf” 搜索政策
第1步:单击列表页面上的“添加新策略”按钮。
第2步:添加政策表格
- 表: -
- 您可以为hive数据库,配置单元表和配置单元列名称创建组合策略。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- UDF: -
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- 通配符: 通配符可以包含在资源路径中。'*'表示字符出现零个或多个。'?' 表示单个字符。您可以在数据库名称,表名称,列名称中使用通配符。例如,数据库名称为*,表名称为?和列名称为?。
在UDF的情况下,我们可以使用例如数据库名称*,UDF作为?。
| 允许 | 描述 |
| Select | 允许用户执行选择操作 |
| Update | 允许用户执行更新操作 |
| Create | 允许用户执行“创建”操作 |
| Drop | 允许用户执行Drop操作 |
| Alter | 允许用户执行Alter操作 |
| Index | 允许用户执行索引操作 |
| Lock | 允许用户对指定资源执行锁定操作 |
| All | 允许用户执行所有操作 |
GRANT :Hive GRANT是一个用于向用户提供Hive数据库表访问权限的命令。
| Syntax: grant <permissions> on table <table> to user <user or group>;
i.e: grant select on table default.newtable to user mark; |
这将创建一个策略并为user1提供选择权限。
编辑/删除/撤销HIVE政策
- 您可以通过单击策略行旁边的编辑/删除按钮从HIVE策略列表页面编辑/删除策略。
REVOKE :Hive REVOKE是一个用于撤消用户对Hive数据库表的访问权限的命令。
| Syntax: revoke <permissions> on table <table> from user <user or group>;
i.e. : revoke select on table default.newtable from user mark; |
这将撤消user1的选择权限。
- 同样我们可以写它(更新,创建,删除,更改,索引,锁定,所有,管理员)
编辑/删除/撤销HIVE政策
- 您可以通过单击策略行旁边的编辑/删除按钮从HIVE策略列表页面编辑/删除策略。
REVOKE :Hive REVOKE是一个用于撤消用户对Hive数据库表的访问权限的命令。
| Syntax: revoke <permissions> on table <table> from user <user or group>;
i.e. : revoke select on table default.newtable from user mark; |
这将撤消user1的选择权限。
- 同样我们可以写它(更新,创建,删除,更改,索引,锁定,所有,管理员)
用户/组
策略权限分配给用户和组。
- 用户
这些用户可以登录Ranger门户并执行管理和报告任务。可以在添加用户时分配角色。只允许管理员创建用户和创建服务。“admin”/“admin用户”的角色决定了可以为新用户分配的角色。
- 内部与外部用户
- 内部用户是由ranger管理员即XA策略管理器创建的用户。外部用户是从其他系统(如Active Directory(AD),LDAP或unix系统)同步的用户。
- 添加用户
您可以从用户列表页面添加新组。添加时,用户应列在下表中。在系统中创建的用户是您可以通过“电子邮件地址”,“角色”,“用户名”,“用户来源”,“用户状态”,“可见性”搜索用户。
第1步:单击用户列表页面上的“添加新用户”按钮
第2步:输入详细信息并保存。
| 标签 | 描述 |
| 用户名 | 输入适当的用户名。 此名称无法在整个系统中重复。 |
| 新密码 | 输入适当的密码。 |
| 确认密码 | 确认输入的密码 |
| 名字 | 输入适当的名字。 |
| 姓 | 输入适当的姓氏 |
| 电子邮件地址 | 以所需格式输入适当的第一个电子邮件地址 |
| 选择角色 | 选择适当的角色(管理员,用户)。这是一个必填字段。 |
| 组 | 选择用户所属的组/。 |
第3步: 设置可见性(即可见/隐藏)
点击隐藏按钮后,用户可以从政策列表页面隐藏。对于隐藏功能,用户必须选中“用户名”列附近的复选框。
第4步:设置可见性(可见)
-
- 单击“可见”选项后,所选用户将在用户列表页面中显示。
第5步:设置用户的状态。
-
- 如果启用了用户的状态,则该用户可以登录到该应用程序。如果用户状态为禁用,则该特定用户无法登录该应用程序。
- 编辑用户
- 我们只能编辑内部用户。对于外部用户,只能更改角色。
管理员登录:
- 您可以通过单击用户名从用户列表页面编辑用户。
-
- 您可以通过单击用户名从用户列表页面编辑用户。
用户登录:
-
- 您可以通过单击配置文件从用户列表页面编辑用户。
组
- Ranger也允许在组级别分配权限。
- 添加组
- 您可以从“列表页面”组中添加新组。添加时,该组应列在下表中。您可以按“组名”和“组来源”,可见性搜索组
第1步:单击组列表页面上的“添加新组”按钮。
第2步:输入详细信息并保存。
| 标签 | 描述 |
| Group Name | 输入适当的用户名。 此名称不能在整个系统中重复。这是必填字段。 |
| Description | 提供任何描述以供参考。 |
- 编辑群组
- 您可以通过单击组的名称从组列表页面编辑组。(只能由管理员执行)
-
- 团体的可见性
- 组列表页面中不显示隐藏组。要使组隐藏,请选中组组名称附近的复选框。
报告
-
- 报告模块用于随着策略数量的增长更有效地管理策略。此页面将列出来自HDFS,HIVE,HBASE,KNOX,YARN,KAFKA,SOLR和STORM的所有策略。您可以基于执行搜索
- 策略名称:创建策略时分配给策略的策略名称。
- 资源路径:创建策略时使用的资源路径。
- “组”/“用户名”:分配策略的组和用户
审计
- 目前,Ranger支持定期审计。这包括在资源级别进行日志记录。它将支持基于用户,组或日期/时间等的条件审计。
访问
- 为审核设置为“开”的所有策略提供服务活动数据。默认服务策略配置为记录服务中的所有用户活动。此默认策略不包含用户和组访问规则。您可以根据以下条件筛选数据:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
管理员
- 此模块包含HDP安全管理Web UI的所有事件,包括 服务,策略管理器,登录等(创建,更新,删除,密码更改等操作)。您可以根据以下内容过滤数据
|
|
|
|
|
|
|
|
|
|
|
|
- 单击操作时的差异视图(本例中为更新操作)
记录会话
- 此模块记录与每次登录的会话相关的信息。您可以根据过滤数据
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- 单击会话ID以获取会话详细信息。
插件
- 此模块显示安全客户端的上载历史记录。此模块显示从系统导出的所有服务。您可以根据以下内容过滤数据。
|
|
|
|
|
|
|
|
|
|
|
|
- 插件选项卡对于检查组件是否与游侠成功通信非常有用。
权限
- 权限模块
权限模块的目的是提供用户角色的灵活性。在权限模型的帮助下,管理员可以限制访问权限或为非管理员用户分配任何模块的权限。权限模型的主要目的是将专用角色分配给非 基于策略管理器,审计,报告,用户管理,密钥管理器等服务的管理员用户。
Step 1:
将鼠标放在“设置”选项卡上。 点击下拉菜单中的“权限”。
.
Step 2 : 你可以按 Group Name,Module Name,User Name搜索权限.
- 增加编辑权限
Step 3 : 单击“操作”列下的“编辑”按钮,以便在权限列表页面上访问特定模块。
Step 4 :
您可以从下拉列表中选择多个用户和组。
a. User Permission
b. Group Permission
Step 5 : 如果Steve用户仅拥有审核和报告选项卡的权限,则只有这两个模块可见,以便在登录时标记用户。
a. Admin Login
b. Steve user Login
扫一扫
442
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
