hive 时间转字符串_07697.0.3如何在Kerberos环境下用Ranger完成对Hive的行过滤及列脱敏...

最新推荐文章于 2024-05-22 15:58:39 发布
最新推荐文章于 2024-05-22 15:58:39 发布
阅读量151 收藏
点赞数
文章标签: hive 时间转字符串 hive怎么处理过滤掉满足多个多个条件的记录
文档编写目的

本篇文章主要介绍如何在CDP DC7.0.3集群中使用Ranger在Hive中进行行过滤及列脱敏,行级别的过滤相当于一个强制性的where子句,例如在订单表中,员工仅被允许查看自己所在地区的订单,其他区域的无法查看。列脱敏可以对某些敏感信息的列进行数据屏蔽,例如身份证号可以屏蔽中间的八位。

  • 测试环境

1.操作系统Redhat7.6

2.CDP DC7.0.3

3.集群已启用Kerberos

4.使用root用户操作

使用Ranger配置Hive中的行过滤

2.1 对表配置单个行过滤条件

在配置Hive中的行过滤前,需要确保授权的用户/用户组已有对要过滤的表的访问权限,即在授权给ranger_user1用户对表t1的行过滤策略前,ranger_user1需要对t1有访问权限。

1.配置ranger_user1对表t1的访问策略

8b2568b108e186a15c48c01f21770976.png

6775549cfb5fc401b4d1e524076a1626.png

配置完成后保存

2.使用ranger_user1查询t1表

513832d4f98b1b54a3b8061fa84608b4.png

5246cc6a987004cd986289f55b2efaa5.png

用户ranger_test1对表t1有select权限,一共查询出7条记录

3.配置行过滤策略

6823b823b231955e598e42b6b8e673c1.png

0c8934d784dacc243ba5ee4331eeddcf.png

c7501a736c0f5cccefeb6a8c85f3a0a6.png

配置完成后保存

4.使用用户ranger_test1再次访问t1表

a35843d5a915dcd93db42d1103a09b19.png

可以看到,此时name=Tom的那条数据已经被过滤,查询结果只有6条数据。

2.2 对表配置多个行过滤条件

针对同一个表中可以配置多个行过滤条件,例如每个租户只能看到自己的数据行,下面测试对同一个表配置多个行过滤条件。

1.在所有节点创建一个新的测试用户ranger_user2,并创建Kerberos用户

87ad0f8bf2aaabb3b1b6a38e6fbbc81e.png

c2dd69fdec1d538ef56b3894ede409e3.png

2.修改访问表t1的策略,以及行过滤策略

·访问策略修改,加入ranger_user2

28ebc88d5408dc70e470a3d555ab1ac7.png

·行过滤策略修改,加入对ranger_user2的过滤条件

03058d4e0b3b84499ca02d7d00e45a44.png

3.使用ranger_user2查询t1表

a63fab7a272c5ab97228c0b1254fba05.png

可以看到ranger_user2无法查看到name=Eric的这一条数据

4.再次使用ranger_user1查询t1表

7bf9328208ce595deb442024b4e3a761.png

可以看到ranger_user1仍然无法查看到name=Tom的这一条数据

由此可见,针对同一个表配置的多个行过滤条件均生效。

使用Ranger配置Hive中的列脱敏

Ranger的列屏蔽功能可以近乎实时地保护Hive中的敏感数据,可以通过设置策略,动态屏蔽或匿名化敏感的数据列,例如可以屏蔽一列的前四个或后四个字符,也可以将整列数据都屏蔽,下面会演示屏蔽的各种规则。

准备一张测试表,数据如下:

9e9b695ab369502a2be42a793d60c906.png

3.1 Redact

该方式是将所有字母用x代替,所有的数字字符用n代替。

1.新建列脱敏策略,使用password列进行测试

b22da10e7d490dc0440de19f7e33bfa9.png

011a3c716a6d3a6a2627c9a09d62e944.png

点击Add添加策略

86da896b277cbb117bd41bb9577c30ea.png

2.使用ranger_user1进行测试,需要注意的是列脱敏的策略也是基于该用户能够访问t1表的前提才能生效。

a5d19178b52c0d87308e3e8c7634c7ea.png

可以看到,除了一行数据中的特殊字符外,其余的数字和字母都进行了相应的替换

3.2 Partial mask: show last 4

该方式是仅显示最后四个字符

1.修改策略,使用phone数据列进行测试

df1e7b61197e13cd4354145b38111639.png

895de4cc121a0e3c1928c0e2c57d801c.png

修改完成后保存策略

2.查询t1表进行测试

686bb309cc6879dec0565ffa1caf27a1.png

由上图可见,手机号这一列只显示了最后四个字符

3.3 Partial mask: show first 4 

该方式是仅显示最前面四个字符

1.修改策略,使用phone列进行测试

655fffb18e49e4ec1f52e6af473a3544.png

2.查询t1表进行测试

067e22984a54c51181b4c0cadf24c827.png

3.4 Hash

将所有字符替换为整个单元格的值对应的哈希

1.修改策略,使用name列进行测试

e9e3ef12226a28f9cd65543e6e7aa380.png

fa2943ac61205812f7b5f1ea5a645313.png

修改完成后保存策略

2.查询t1表进行测试

4d40f2e45841f3c5139acbc4d9cc123b.png

3.5 Nullify

将所有字符替换为NULL值

1.修改策略,使用name列进行测试

64c5299b12fbd4d893f77dcb1347630d.png

2.查询t1表进行测试

390ba1b6cb3bbf37095da0c220a94376.png

3.6 Date

仅显示日期字符串的年份部分,并且默认月份和日期为01/01

1.修改策略,使用create_date列进行测试

a74ebc6fc521db3109361a339c73e8cd.png

8986f871ce2786ccd2231de9da75c5e1.png

2.查询t1表进行测试

6de962544d93b73e8f243fe5dcb4eaf7.png

由上图可见,日期一列只显示了年份,月份和日期使用了01-01进行代替。

3.7 Custom

该方式指定自定义的值或表达式,同时也可以使用任何有效的自定义的UDF

1.修改策略,使用phone列进行测试,屏蔽掉中间的四位数字

f4161b720467eed77c742c66dd981039.png

773bcbc2b11ab6a0cad94273b1e0adcb.png

2.查询t1表进行测试

41a37561685b555913dba2c454120e50.png

如上图可见,phone对应的数据中间的四位数字都被屏蔽了。

总结

1.Hive的行过滤可以对同一张表针对不同用户配置多个条件,可以满足实际场景的很多需要,例如在访问该表时不同的租户只能看到自己的数据。

2.Hive的行过滤有助于简化Hive查询。配置了行过滤相当于提供默认的where子句,Hive每次尝试访问数据时都会应用该条件,这有助于简化Hive查询的编写,不需要再将where子句添加到原本的查询语句中。

3.Hive的列脱敏中每个列都应具有单独的屏蔽策略,同一个策略只能针对一个列,在处理访问请求时,会按照策略中条件的顺序进行屏蔽。

4.Hive的列脱敏不支持通配符的匹配。如表和字段不能配置为*值。

5.在使用Date进行列脱敏时,Hive中对应字段的格式需要是时间类型,在测试中使用的date类型。

6.在对列进行脱敏时,除了使用指定的选项外,还可以用自定义的表达式或者UDF来进行脱敏。

weixin_39940788
关注
使用Ranger对Hive数据进脱敏
weixin_34040079的博客
01-15 2073
Ranger支持对Hive数据的脱敏处理(Data Masking),它对select的返回结果进脱敏处理,对用户屏蔽敏感信息。 备注:该功能针对HiveServer2的场景(如beeline/jdbc/Hue等途径执的select),对于使用Hive Client(如hive -e 'select xxxx')不支持。 接下来介绍如何在E-MapR...
hive插件 ranger_Ranger通过keberos认证安装Hive插件
weixin_39668898的博客
12-22 627
在普通hadoop集群下网上已经有很多讲解,一般参考官方wiki就可以,整体安装也比较简单,这里可以参考。但是在安全集群中,需要通过keberos认证进策略同步等使用,遇见主要有两个问题:1.策略同步失败;2.测试连接失败;下面提供自己遇见过后的处理方式。策略同步失败如果在install.properties中配置的ranger地址为http://...应该不会有这个问题,如果是https,则需...
Ranger之Hive过滤设置(六)
m0_48187193的博客
03-12 1313
Hive中的过滤屏蔽 您可以使用Apache Ranger级筛选器为设置访问策略Hive表。您还可以使用Ranger屏蔽来设置屏蔽Hive中的数据的策略,例如只显示数据的前四个字符或后四个字符。 使用Ranger策略Hive中的过滤 过滤有助于简化Hive查询。Hive通过将访问限制逻辑向下移动到Hive层,在每次尝试访问数据时应用访问限制。这有助于简化Hive查询的编写,并提供了无缝的级分段的后台执,而无需将此逻辑添加到查询的谓词中。 关于这个任务 过滤也提高了Ha
Hive3.1.0结合Ranger1.1.0数据脱敏过滤Row-level Filter、屏蔽Column Masking)
TT-Learning
01-14 2287
文章目录1. 概述2. 准备示例数据2.1 数据准备2.2 导入hive库3.过滤Row-level Filter4.屏蔽Column Masking4.1 集群未开启Kerberos 1. 概述 Ranger结合Hive组件对数据进脱敏包括:过滤Row Filter、屏蔽Column Masking两种方式。只对Select操作进级别数据脱敏,进而实现对用户屏蔽敏感信息。 ...
kylin04_kylin连接hivekerberos,ranger模式下配置连接)
github_39319229的博客
02-05 938
创建kylin的kerberos账号 kadmin.local # kylin addprinc kylin@BIGDATATEST.COM 生成kylin的keytab文件 ktadd -k /etc/security/keytabs/kylin.keytab -norandkey kylin 分发keytab文件到其他kylin节点 scp /etc/security/keytabs/kylin.keytab root@n2.bigdatatest.com:/etc/security/.
hive-role.zip
01-12
在大数据处理领域,Hive 是一个非常重要的组件,它提供了基于 Hadoop 的数据仓库功能,使得用户可以通过 SQL 类似的查询语言 HiveQL 来处理存储在 Hadoop 分布式文件系统 (HDFS) 中的大量数据。"hive-role.zip" 文件...
hive插件 ranger_Apache Ranger及Hive权限控制
weixin_39726131的博客
12-31 1542
一、Ranger概述1.Ranger简介Apache Ranger提供一个集中式安全管理框架, 并解决授权和审计。它可以对Hadoop生态的组件如HDFS、Yarn、Hive、Hbase等进细粒度的数据访问控制。通过操作Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问权限。本文章介绍Ranger与Hive集成过程,与使用方法2.Ranger包含以下组件Ranger Admin 用户...
hive插件 ranger_Ranger安装部署 - 扩展组件安装
weixin_39669638的博客
12-22 1047
1. ranger-hdfsplugin安装1.1 安装ranger hdfs plugin软件包# pwd/opt/app/ranger-release-ranger-1.2.0/target#tar -zxvf ranger-1.2.0-hdfs-plugin.tar.gz1.2修改install.properties文件# pwd/home/redpeak/app/ranger-rele...
hive表级权限控制_Apache Ranger及Hive权限控制
weixin_39755824的博客
12-31 1653
一、Ranger概述1.Ranger简介Apache Ranger提供一个集中式安全管理框架, 并解决授权和审计。它可以对Hadoop生态的组件如HDFS、Yarn、Hive、Hbase等进细粒度的数据访问控制。通过操作Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问权限。本文章介绍Ranger与Hive集成过程,与使用方法2.Ranger包含以下组件Ranger Admin 用户...
delta special module_源码.zip
10-18
7. **安全性与权限控制**:为了保护数据安全,源码可能包含了访问控制和权限管理的实现,如Apache Ranger或Kerberos的集成。 8. **监控与诊断**:源码可能包含性能监控和问题诊断工具,用于跟踪系统状态,及时发现...
Hive的Udf函数进数据脱敏
01-26
udf开发–做个简单脱敏udf保留前5位,后面全部替换成*****
2023.11.16 hivesql 函数之类型换,脱敏,与加密函数
白白的wj的博客
11-15 999
cast:主要用于类型换,如果换失败则返回null很多时候,底层也默认做了自动换实际应用场景:concat_ws用指定分隔符拼接到一起生成新的字符串,但拼接的内容必须是字符串类型,所以可以用cast来先进类型换。
干货:一文看懂Apache Ranger | 凌云时刻
云布道师
05-26 6818
凌云时刻 ·技术导读:Apache Ranger来源于XA Secure公司。2013年,XA Secure在加利福尼亚成立,专门做Hadoop生态的安全管控。2014年,Horton...
Apache Ranger对Hive数据脱敏-过滤Row Filter、屏蔽Column Masking
王佩的CSDN博客
02-26 5743
概述 Apache Ranger对Hive数据支持两种脱敏方式:过滤Row Filter、屏蔽Column Masking。它可对Select结果进级别数据脱敏,从而达到对用户屏蔽敏感信息的目的。 注意:该功能只适用于HiveServer2使用场景(如Beeline/JDBC/Hue等途径执的Select),对Hive Cli(如Hive -e)和直接读取Hive表的HDFS文件场景不...
hadoop+ranger+kerberos页面权限配置(四)
weixin_40496191的博客
01-02 1647
ranger+kerberis页面权限配置
HIVE3.1.3+ZK+Kerberos+Ranger2.4.0高可用集群部署
最新发布
snipercai的博客
05-22 1131
HIVE3.1.3+ZK+Kerberos+Ranger高可用集群部署
Hive结合Apache Ranger进数据脱敏
Carson073的博客
04-18 1226
Apache Hive是构建在Hadoop之上的数据仓库,支持通过SQL接口查询分析存储在Hadoop中的数据。在Hive出现之前,数据分析人员需要编写MapReduce作业分析Hadoop中的数据,这种方式繁琐低效,对数据分析人员不友好,因为数据分析人员大部分比较精通SQL,但是编程功底较浅。在这种背景下,2007年Facebook在论文。
Apache Ranger控制功能
weixin_45076240的博客
10-29 955
Apache Ranger控制功能#  Apache Ranger 是一个在hadoop平台上使用的组件,可以全面监控和管理数据的安全。有关Ranger的安装有时间我会专门写一个博客介绍。 Apache Ranger目前支持的组件如下  Ranger-usersync用于同步linux的用户和用户组,在ranger上可以进用户和用户组的权限控制。 Ranger-HDFS: 针对HDFS文件系统,ranger提供:  三种权限:read,write,execute。  四种方式:白名单,白名单排除名单,
Ranger集成Kerberos
Swordfall的博客
04-22 1317
1. 生成用户主体   在kerberos服务器生成用于ranger的用户主体: kadmin.local addprinc -randkey http/node3@EXAMPLE.COM addprinc -randky root/node3@EXAMPLE.COM ktadd -norandkey -kt rangadmin.keytab http/node3@EXAMPLE.COM ro...
hive和doris的区别
03-29
3. 数据存储:Hive数据存储在HDFS中,而Doris则使用自己的存储引擎。 4. 数据更新:Hive不支持实时数据更新,只能支持批量导入。Doris则支持实时数据更新,并且性能更高。 5. 数据安全:Hive支持Kerberos身份验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值