CDH 给root 用户赋值 超级权限 和 hive 赋值操作 详细

cdh 中给root 赋值 hdfs 超级用户权限

CDH环境下Hadoop平台最高权限用户是hdfs，属于supergroup组。默认HDFS会开启权限认证，所以操作时，需要将root用户切换到hdfs用户，否则会报错。

在root 用户下
spark-shell 和hdfs 等命令没有读写 hdfs 系统上数据的权限 每次都切换到 hdfs 用户下执行存在问题，还有在特定单独安装组件可能要求用root用户存在进程无法读取hdfs 上数据的情况，但是关闭权限检查，任何用户都可以操作HDFS数据，数据安全性又没有保障，所以使用将用户添加到supergroup组的方式。

通常会把 root 或者需要的用户添加到 supergroup组，但Linux下默认是没有supergroup组。

#Linux下默认是没有supergroup组的
#hadoop:x:994:hdfs,mapred,yarn
cat /etc/group
 
#查看hdfs用户的组是hadoop
#hdfs:x:995:992:Hadoop HDFS:/var/lib/hadoop-hdfs:/sbin/nologin
cat /etc/passwd

所以，先在Linux添加supergroup组，把root用户添加到supergroup里，再同步权限到HDFS。

#Linux添加supergroup组
#supergroup:x:1003:
groupadd supergroup
 
#将root添加到supergroup
#supergroup:x:1003:root
usermod -a -G supergroup root
 
#同步系统权限信息到HDFS,会自动同步其他节点权限
#Refresh user to groups mapping successful for cdh-master/192.168.100.45:8020
#Refresh user to groups mapping successful for cdh-slave01/192.168.100.46:8020

然后再 hdfs 用户下同步 到其它节点

hdfs dfsadmin -refreshUserToGroupsMappings

最后验证

hive 中为用户（root）添加 所有权限

确保cdh 中已经配置开通相应的权限控制
在Cloudera Manager中配置

hive-site.xml 的 Hive 客户端高级配置代码段（安全阀）
hive-site.xml 的 HiveServer2 高级配置代码段（安全阀）

hive.security.authorization.enabled true hive.security.authorization.createtable.owner.grants ALL hive.security.authorization.task.factory org.apache.hadoop.hive.ql.parse.authorization.HiveAuthorizationTaskFactoryImpl  更多优化参数参考：https://www.cnblogs.com/yaohaitao/p/5799495.html

本人任务为root用户增加权限的最好方式是通过hive 客户端直接赋值所有权限（待验证 欢迎推荐其它方式）
切换到超级用户hdfs 直接客户端 方式 hive

grant all to user root:

hive中查看用户权限

此时root 已经拥有 hive 操作的所有权限

注意：
‘hive 用户权限分配 一般可以通过两方面
1、直接对不同的用户赋权。
2、通过对hive中的角色赋权（一般可以通过hue）
hue 一般先赋值操作到一个角色 然后将这个角色的权限 在赋值个用户的方式。

如：(1)\hue 这里创建了角色 role_select
CREATE ROLE role_select;
grant SELECT,SHOW_DATABASE on database default to role role_select;

(2)、hue 中使用超级用户（hdfs）

• 在Manager Users选项下 Add User， 逐步创建用户
• 登录到hive，执行授权
  grant role role_select to user [替换user为具体用户]

完成

应用hive2的beeline命令行工具登录到hive后：

我们直接可以对相关用户和角色添加相关权限 create，drop ，select，alter，delete等

操作(opera) 解释

ALL             所有权限  
ALTER           允许修改元数据（modify metadata data of  object）---表信息数据  
UPDATE          允许修改物理数据（modify physical data of  object）---实际数据  
CREATE          允许进行Create操作  
DROP            允许进行DROP操作  
INDEX           允许建索引（目前还没有实现）  
LOCK            当出现并发的使用允许用户进行LOCK和UNLOCK操作  
SELECT          允许用户进行SELECT操作  
SHOW_DATABASE   允许用户查看可用的数据库

一般情况下的操作是 将权限归类 按照合适的粒度 分配给角色 然后再将角色赋值给用户账号，因为账号是Linux系统级的不太好分的粒度那么清楚。
下面是赋值权限的一些命令操作：

基于角色

--创建和删除角色  
create role role_name;  
drop role role_name;  
--展示所有roles  
show roles  
--赋予角色权限  
grant select on database zfs_test to role zfs_role;    
grant select on [table] employee to role user1_1;    
--查看角色权限  
show grant role role_name on database db_name;   
show grant role role_name on [table] t_name;   
--角色赋予用户  
grant role role_name to user user_name  
--回收角色权限  
revoke select on database db_name from role role_name;  
revoke select on [table] t_name from role role_name;  
--查看某个用户所有角色  
show role grant user user_name; 
--查看用户被赋予的角色 
show role grant user user1_1;
--查看所有权限的分配情况
show grant
--查看单个角色的权限分配情况
show grant role zfs_role;

基于用户

GRANT CREATE ON DATABASE default TO user mllib;
GRANT SELECT on table authorization_test to user mllib;
GRANT DROP on table authorization_test to user mllib;
GRANT ALL on table authorization_test to user mllib; 

查看权限分配

SHOW GRANT user mllib ON DATABASE default;
SHOW GRANT group test_role ON DATABASE default;

删除权限

revoke all on database spark from user mllib;

三、可以通过修改元数据表控制表权限

登录hive元数据库，可以发现以下表:

Db_privs:记录了User/Role在DB上的权限
Tbl_privs:记录了User/Role在table上的权限
Tbl_col_privs：记录了User/Role在table column上的权限
Roles：记录了所有创建的role
Role_map：记录了User与Role的对应关系

Hive在mysql上的元数据表主要分为：Database相关、Table相关、数据存储相关SDS、COLUMN相关、SERDE相关(序列化)、Partition相关(分区)、SKEW相关(数据倾斜)、BUCKET相关(分桶)、PRIVS相关(权限管理)，对数据库-数据表、用户有相应关系体现。其中TBL_PRIVS存储了表/视图的授权信息，见如下数据字典：

再看mysql中存储Hive中所有数据库基本信息的表DBS数据字典：