一、src
https://cwiki.apache.org/confluence/display/SENTRY/Sentry+Tutorial
- kerberos只能认证,授权由sentry负责
- Apache Hive,Hive Metastore / HCatalog,Apache Solr,Impala和HDFS
- sentry通过控制用户能访问的hdfs的文件和hive的表来实现权限控制。最终操作的还是hdfs上的文件的权限。
二、架构、角色
1.角色
object:受保护的对象,比如表、列
privilege:对应object的权限
role:一组privilege的集合
user:用户
group:一组user的集合
2.架构
三、使用
授权时,只能是把role赋给group,不能直接操作privilege和user。如下图,想要给Tom用户授table的read权限,只能先加入Bigdata组,然后把role授给Bigdata组
sentry本质保护的是数据,而数据是保存在hdfs上的,sentry本质是操作hdfs上数据的9个权限