cdh用户权限_CDH6.3.2之Sentry权限管理(三)

最新推荐文章于 2023-04-10 09:31:11 发布
最新推荐文章于 2023-04-10 09:31:11 发布
阅读量1.1k 收藏 3
点赞数
文章标签: cdh用户权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42337065/article/details/112431534
版权
本文详细介绍了Apache Sentry在CDH集群中的应用,如何部署Sentry服务,启动Hive的Sentry权限管理,启用HDFS ACL与Sentry同步,以及通过HUE和Hive语句进行Sentry授权管理。Sentry提供对Hadoop数据的细粒度权限控制,确保了数据安全性。
摘要由CSDN通过智能技术生成

01

PART

Sentry概述

        Apache Sentry是一个可以对Hadoop集群中的数据及元数据进行细粒度管理的权限管理系统。Sentry目前可以与ApacheHive,HiveMetastore / HCatalog,Apache Solr,Impala和HDFS(仅限于Hive表数据)等进行集成,对其数据进行权限管理。

02

PART

部署Sentry服务

1.在CDH集群添加Sentry服务

805314a2a7c8145d0ee143037c90d0cb.png

22f87b2f0e41d9a8f13083dba08e4b5d.png

2.自定义Sentry角色分配

cfb2bb73cbd4b120a21b6d9a681aeec3.png

3.测试Sentry数据库连接(需提前为Sentry服务准备好数据库)

2da715cb7a0cb51c11a68d876bafd662.png

4.Sentry部署启动完成

f9cfaa9ccddedfbaf66b65f1397330db.png

03

PART

Hive启动Sentry权限管理

   为Hive启动Sentry权限管理之后,可以使用Sentry对Hive中的表进行列级别的细粒度权限控制。需要说明的是,只有Hiveserver2支持Sentry插件,故若想对Hive中的表作权限管理,只能使用beeline客户端。对于Hive CLI,可将hive脚本的执行权限做出限定,只保留hive用户(Hive系统用户)对它的执行权限。

1.取消HiveServer2用户模拟

在hive配置项中搜索“HiveServer2 启用模拟”,取消勾选

e0969a3a802931c81f5dc9c03fdb4498.png

2.在Hive配置项中搜索启用数据库中的存储通知,勾选。

f8b54b3b85d43aa5de4ca9ac821ab2f9.png

3.在Hive配置项中搜索Sentry,勾选Sentry。

ebb9ca7d6f6dbc654a812c0ca8eed524.png

4.重启相关服务

04

PART

启用HDFS ACL与Sentry同步

   启用HDFS ACL与Sentry同步之后,Sentry会将对Hive中数据库和表的访问权限同步映射到该表对应的HDFS的文件上。如不开启同步,则可能会出现,某个用户对Hive中的某张表无访问权限,但是对该表在HDFS上文件具有访问权限的问题,故推荐开启HDFS ACL与Sentry同步。需要说明的是,该同步只对Hive中的数据库和表在HDFS上的路径生效,HDFS其余路径的ACL不受影响。

1.在HDFS配置项中搜索启用访问控制列表,勾选。

d096d794a6c1d65999e7f737b20eae02.png

2.在HDFS配置项中搜索Sentry,并做以下两项配置

1)勾选启用Sentry同步

2)填写Sentry 同步路径,此处应填写hive数仓根目录,默认为/user/hive/warehouse

1afe9a826783f1d7fd31f05b4a04e570.png

05

PART

Sentry授权管理实操

1.Sentry基础概念

object:受保护的对象,例如Hive中的一张表test_table

privilege:对object的访问权限,例如对test_table的读权限

role:角色(privilege的集合),例如数仓开发人员(对test_tbl的读与写权限)

user:用户,例如张三

group:user的集合,例如大数据离线数仓开发组

2.Sentry使用

   使用Sentry进行权限管理,可通过两种方式进行。一是使用在Hive中的授权语句进行授权,二是使用HUE中集成的Sentry插件进行可视化操作。

1)Sentry授权之HUE

(1)HUE集成Sentry

在HUE配置项中搜索Sentry,勾选Sentry。

3f6d98ca472f05c66179f5aa61a09470.png

(2)重启相关服务

(3)在HUE中创建Hive服务的系统用户,默认为hive,并赋予hive用户在HUE中使用Sentry插件的权限。使用hive用户登录,并使用hive用户为其他普通用户授权权限。

fd2de63900b93b4f3c95ce496767fa8f.png

(4)打开Sentry插件

036015cd429ac971e86703703832680f.png

(5)初始状态任何用户对Hive中的表都没有任何权限,包括系统用户hive,故需要首先为hive用户赋予超级权限,即对所有库和表的所有权限。

80daa5cde394f20c57f48ec6391f2916.png

20ef944d05480d0e7b688bd0f76e2381.png

(6)为普通用户分配权限

   此处演示为,为test用户授予对test_db数据库下的test_table表的读权限。

   需要注意的是,在使用HUE中的Sentry插件对普通授予Hive的访问权限时,需要保证Hiveserver2所在的服务器中,也要具有同名同组的系统用户。

2d178a6b8accdf36eee78b9ae1552159.png

196aabc8585fc84620b3004f73b44c8e.png

(7)测试

使用test用户登录HUE,使用Hive Editor查询test_da.test_table,结果显示能够查询。

b47f7580f96652bc1da4572269a9a02b.png

尝试往该表写入,结果显示没有权限。

09175210bcf9277501274f10aa2656f2.png

2)Sentry授权之Hive语句

   登录Beeline客户端,可通过以下授权语句进行授权操作。需要注意的是,当集群开启Kerberos之后,登录beeline客户端,需先经过Kerberos认证。例如,想以hive的身份登录beeline客户端,则需执行kinit hive/hive@EXAMPLE.COM命令,并输入密码,访客登录beeline客户端。关于Kerberos相关内容,可参考CDH6.3.2之Kerberos安全认证(二)

(1)创建Role

create role test_role;

(2)为role赋予privilege

GRANT select ON DATABASE test_db TO ROLE test_role;

(3)将role授予用户组

GRANT ROLE test_role TO GROUP test;

(4)查看权限授予情况

  查看所有role(管理员)

SHOW ROLES;

  查看指定用户组的role(管理员)

SHOW ROLE GRANT GROUP test;

  查看当前认证用户的role

SHOW CURRENT ROLES;

  查看指定ROLE的具体权限(管理员)

SHOW GRANT ROLE test_role;

扫码入群和大佬们一起讨论技术

d93242836215ee3e733025b6a0cf09e6.png

该公众号开源为大家解决大数据企业级遇到的各种问题,也欢迎各位大佬积极加入开源共享(共同面对大数据领域各种老大难问题)

芒果大大
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Zeppelin集成Ranger实现用户权限管控
u010543388的博客
07-30 2104
前言 一、架构说明 二、
cdh6.3.2添加sentry服务启动失败排查
qq_31454379的博客
03-03 809
报错信息关键词: Could not create org.apache.sentry.provider.db.service.persistent.SentryStore java.sql.SQLException: Column name pattern can not be NULL or empty. Exception in thread "main" java.lang.IllegalStateException: Could not create org.apache.sentry.pro
gitlab 将管理员权限移交给ldap账户_Zeppelin集成Ranger实现用户权限管控
weixin_39781186的博客
11-24 755
前言在Hadoop生态中,典型的鉴权方案:1、LDAP+Kerberos+Sentry主要应用在CDH平台,支持 Hive、Impala、HDFS 等主流组件,不支持 Hbase、Yarn、Kafka、Storm等常见组件。2、LDAP+Kerberos+Ranger主要应用在Apache Hadoop或HDP平台,支持组件丰富,如 HDFS、HBase、Hive、Yarn、Kafka、...
cdh目录权限记载
蘑菇丁的专栏
08-23 484
drwx------. 2 root         root            6 Nov 20  2015 httpd drwxr-xr-x. 2 chrony       chrony          6 Nov 24  2015 chrony drwxr-xr-x. 2 ntp          ntp             6 Apr 13  2017 ntpstats -rw-...
cdh6.3.2配置Sentry+Hue权限管理
qq_31454379的博客
03-04 2788
文章目录Sentry安装部署添加Sentry服务定义角色分配节点配置数据库完成服务添加Sentry与Hive/Impala集成取消HiveServer2用户模拟确保hive用户能够提交MR任务配置Hive使用Sentry配置Impala使用Sentry配置HDFS权限与Sentry同步Sentry授权HUE授权配置命令行权限配置 Sentry安装部署 添加Sentry服务 定义角色分配节点 配置数据库 完成服务添加 服务启动失败的话可以排查: cdh6.3.2添加sentry服务启动失败排查 Sen
0028-如何在CDH未启用认证的情况下安装及使用Sentry
Hadoop_SC的博客
11-20 790
温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。 1.文档编写目的 CDH平台中的安全,认证(Kerberos/LDAP)是第一步,授权(Sentry)是第二步。如果要启用授权,必须先启用认证。但在CDH平台中给出了一种测试模式,即不启用认证而只启用Sentry授权。但强烈不建议在生产系统中这样使用,因为如果没有用户认证,授权没有任何意义形同虚设,用户可以随意使用任何超级用户登...
大数据技术之CM6.3.1+CDH6.3.2配置Hue+Sentry权限管理.pdf
11-23
大数据技术之CM6.3.1+CDH6.3.2配置Hue+Sentry权限管理 本文档主要介绍了CDH6.3.2配置Hue+Sentry权限管理的步骤,旨在帮助读者了解大数据技术中的权限管理机制。 一、Sentry概述 Sentry是Apache开源组件,提供了细...
CDH6.3.2网盘.txt
12-22
由于CSDN上传文件大小限制,下载《CDH6.3.2网盘.txt》获取网盘地址进行下载,CDH6.3.2 搭建所需要的各种安装文件,包括: allkeys.asc manifest.json cloudera-manager.repo CDH-6.3.2-1.cdh6.3.2.p0.1605554-el7....
CDH6.2 集成Sentry,Hive,Hue,Impala权限控制
简单的心的博客
07-02 6216
公司最近Hadoop集群和其他服务机器复用严重,提供了新机器,想将Hadoop集群迁出。 Hadoop使用的CDH集成环境,从CDH5.3跨越到CDH6.2 之前在CDH5.3上将hive从0.13升级到1.2.1。然后做了hive权限控制 详情见https://blog.csdn.net/u012422198/article/details/94434445 想在CDH6.2中同样来一套...
【手册】CDH6.3.2及hadoop生态圈工具安装部署手册(附带安装包)
遇事不决问春风
05-13 2066
大数据测试环境CDH6.3.2安装部署手册 一、前期准备 1、服务器3台,系统要求centos7,服务器配置24核心+64G内存+2.7T磁盘 2、CDH6.3.2相关资源,目前在线下载已收费,只能采用离线安装 3、CM6.3.1相关资源,目前在线下载已收费,只能采用离线安装 4、mysql驱动,jdk安装包 5、集群规划 6、Flink1.12目前官网没有提供,官网只提供了flink1.9版本的集成,如需使用需要自己编译。 内存 磁盘 CPU cm cdh Mysql Hive Impala K
CDH开启Kerberos+Sentry权限控制-实施配置指南
12-02
CDH开启Kerberos+Sentry权限控制-实施配置指南,完整的详细教程
cdh用户权限_CDH权限不够,修改用户和用户组为root
weixin_39968823的博客
12-23 947
[------今天看了这篇文章 觉得对我们学习oracle 还是有很多帮助的,大家可以试着读读······· 这里将介绍Oracle修改用户权限的实现过程,包括一� ...]不知道大家有木有遇到过CDH中使用默认的用户和用户组导致有些地方的文件权限操作和用户操作的各种问题。CDH默认安装的时候,会创建各种用户,hdfs,hive,spark,impala,sqoop等等的用户,但往往我们...
Apache Sentry架构介绍
weixin_33709364的博客
04-08 1016
介绍 Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,截止目前还是Apache的孵化项目,它提供了细粒度级、基于角色的授权以及多租户的管理模式。Sentry当前可以和Hive/Hcatalog、Apache Solr 和Cloudera Impala集成,未来会扩展到其他的Hadoop组件,例如HDFS和HBase。 特性...
Ranger集成CDH impala3.4
qq_35741557的博客
05-28 1213
CM的impala配置如下: server-name的值为ranger-hive插件所在的节点,impala要去此节点读取策略 在启动impala时加载ranger相关文件,如xasecure-audit.xml文件等,可将hive配置文件目录的xasecure-audit.xml等文件加载到impala相关进程的配置文件目录中(所有impala节点都需修改) 如图,添加内容: 重启Impala服务 ...
gitlab 将管理员权限移交给ldap账户_Gitlab集群
weixin_39808726的博客
11-29 574
总体架构总共架构由5部分组成PostgresqlRedisGitlabNFSLB集群示意图RedisGitlab官网上的文档说到的方案是搭建一个稳定高可用性的Redis集群,我在这里做了简化,只用docker搭建了单个节点的Redis服务docker run -dti --name redis -p 6379:6379 redisRedis服务的主机IP和端口号将在gitlab配置中用到Postg...
CDH 之 Kerberos 安全认证和 Sentry 权限控制管理(一)
最新发布
予挚之的博客
04-10 1197
Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,2016年3月成为Apache顶级项目。Sentry是一个基于角色的粒度授权模块,提供了对Hadoop集群上经过身份验证的用户提供了控制和强制访问数据或数据特权的能力。Kerberos+Sentry
cdh集成sentry
朱登凯的专栏
05-08 1760
安装sentry服务 在cloudera manager web页面上选中集群下的action按钮,然后点击add service,在列表中选择sentry服务,并按照向导操作即可。sentry的运行需要使用mysql,在安装cdh的那篇文章中的步骤已经包含了创建sentry服务的步骤,所以,直接就有一个sentry数据库,直接使用即可,用户名和密码是sentry/sentry_password。...
CDH安装SENTRY
weixin_34112900的博客
12-13 733
2019独角兽企业重金招聘Python工程师标准>>> ...
CDH6.3.2配置Hue+Sentry:大数据权限管理实战
本文将详细介绍如何在CDH6.3.2环境下配置Hue和Sentry,以实现大数据平台的精细权限管理和用户认证。Hue是一个Web界面,用于交互式地访问Hadoop生态系统中的多种服务,而Sentry是一个提供细粒度权限控制的开源组件,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值