sentry权限控制

已于 2023-03-08 15:10:15 修改
阅读量1k 收藏
点赞数
文章标签: sentry hadoop 大数据
于 2023-03-07 18:08:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43866666/article/details/129384656
版权

sentry权限控制

文章目录

前言

Apache Sentry是一个可以对Hadoop集群中的数据及元数据进行细粒度管理的权限管理系统。Sentry目前可以与ApacheHive,HiveMetastore / HCatalog,Apache Solr,Impala和HDFS(仅限于Hive表数据)等进行集成,对其数据进行权限管理。

1. 安装

在这里插入图片描述
在这里插入图片描述
配置数据库
在这里插入图片描述
安装完毕

2. hive内得配置

需要说明的是,只有Hiveserver2支持Sentry插件,故若想对Hive中的表作权限管理,只能使用beeline客户端。对于Hive CLI,可将hive脚本的执行权限做出限定,只保留hive用户(Hive系统用户)对它的执行权限。

在hive配置项中搜索“HiveServer2 启用模拟”,取消勾选
在这里插入图片描述
启用数据库中的存储通知
在这里插入图片描述
Sentry
在这里插入图片描述
设置sentry.hive.testing.mode 为 true
在这里插入图片描述

4. hdfs配置

启用HDFS ACL与Sentry同步之后,Sentry会将对Hive中数据库和表的访问权限同步映射到该表对应的HDFS的文件上。如不开启同步,则可能会出现,某个用户对Hive中的某张表无访问权限,但是对该表在HDFS上文件具有访问权限的问题,故推荐开启HDFS ACL与Sentry同步。需要说明的是,该同步只对Hive中的数据库和表在HDFS上的路径生效,HDFS其余路径的ACL不受影响。

启用访问控制列表
在这里插入图片描述
Sentry同步
在这里插入图片描述

5. Hue 授权

基本概念

object:受保护的对象,例如Hive中的一张表test_table

privilege:对object的访问权限,例如对test_table的读权限

role:角色(privilege的集合),例如数仓开发人员(对test_tbl的读与写权限)

user:用户,例如张三

group:user的集合,例如大数据离线数仓开发组

hue集成sentry
在这里插入图片描述

6. 连接hive配置权限

beeline> ! connect jdbc:hive2://cdh002:10000
Connecting to jdbc:hive2://cdh002:10000
Enter username for jdbc:hive2://cdh002:10000: hive
Enter password for jdbc:hive2://cdh002:10000: 
Connected to: Apache Hive (version 2.1.1-cdh6.3.2)
Driver: Hive JDBC (version 2.1.1-cdh6.3.2)
Transaction isolation: TRANSACTION_REPEATABLE_READ
0: jdbc:hive2://cdh002:10000>

在这里插入图片描述
创建角色admin,并赋予权限

0: jdbc:hive2://cdh002:10000> create role admin;

0: jdbc:hive2://cdh002:10000> grant all on server server1 to role admin;

在这里插入图片描述
讲admin用户授权给hive用户组
这样admin就成了管理员用户了

0: jdbc:hive2://cdh002:10000> grant role admin to group hive;

在这里插入图片描述
创一个测试表,在default库里,并插入数据

0: jdbc:hive2://cdh002:10000> create table test (s1 string, s2 string) row format delimited fields terminated by ',';
0: jdbc:hive2://cdh002:10000> insert into test values('a','b'),('1','2');

查看已有得用户

0: jdbc:hive2://cdh002:10000> show roles;

在每台服务器上,都添加用户user_r, user_w

useradd user_r
useradd user_w

创建角色read, write。并赋予read角色对test表得select权限,write角色对test表得insert权限

0: jdbc:hive2://cdh002:10000> create role read;
0: jdbc:hive2://cdh002:10000> create role write;
0: jdbc:hive2://cdh002:10000> grant select on table test to role read;
0: jdbc:hive2://cdh002:10000> grant insert on table test to role write;

为user_r用户组授权read角色,为user_w用户组授write角色

0: jdbc:hive2://cdh002:10000> grant role read to group user_r;
0: jdbc:hive2://cdh002:10000> grant role write to group user_w;

在这里插入图片描述

7. 验证

查看权限授予情况

查看所有role(管理员)

SHOW ROLES;
查看指定用户组的role(管理员)

SHOW ROLE GRANT GROUP test;
查看当前认证用户的role

SHOW CURRENT ROLES;
查看指定ROLE的具体权限(管理员)

SHOW GRANT ROLE test_role;

取消某组下的所有权限授权
--- 取消授权
revoke role defaultread from group xxxx;

登录user_r用户,只能读,不能写

beeline> !connect jdbc:hive2://cdh002:10000
Connecting to jdbc:hive2://cdh002:10000
Enter username for jdbc:hive2://cdh002:10000: user_r
Enter password for jdbc:hive2://cdh002:10000: 
Connected to: Apache Hive (version 2.1.1-cdh6.3.2)
Driver: Hive JDBC (version 2.1.1-cdh6.3.2)
Transaction isolation: TRANSACTION_REPEATABLE_READ
0: jdbc:hive2://cdh002:10000> show tables;
INFO  : Compiling command(queryId=hive_20230307174342_be0a401c-ee13-4864-82c6-ef44eb28090f): show tables
INFO  : Semantic Analysis Completed
INFO  : Returning Hive schema: Schema(fieldSchemas:[FieldSchema(name:tab_name, type:string, comment:from deserializer)], properties:null)
INFO  : Completed compiling command(queryId=hive_20230307174342_be0a401c-ee13-4864-82c6-ef44eb28090f); Time taken: 0.178 seconds
INFO  : Executing command(queryId=hive_20230307174342_be0a401c-ee13-4864-82c6-ef44eb28090f): show tables
INFO  : Starting task [Stage-0:DDL] in serial mode
INFO  : Completed executing command(queryId=hive_20230307174342_be0a401c-ee13-4864-82c6-ef44eb28090f); Time taken: 0.045 seconds
INFO  : OK
+-----------+
| tab_name  |
+-----------+
| test      |
+-----------+
1 row selected (0.29 seconds)
0: jdbc:hive2://cdh002:10000> select * from test;
INFO  : Compiling command(queryId=hive_20230307174345_eeccf5a0-2fde-4e6b-bd5e-77ab40b17142): select * from test
INFO  : Semantic Analysis Completed
INFO  : Returning Hive schema: Schema(fieldSchemas:[FieldSchema(name:test.s1, type:string, comment:null), FieldSchema(name:test.s2, type:string, comment:null)], properties:null)
INFO  : Completed compiling command(queryId=hive_20230307174345_eeccf5a0-2fde-4e6b-bd5e-77ab40b17142); Time taken: 0.1 seconds
INFO  : Executing command(queryId=hive_20230307174345_eeccf5a0-2fde-4e6b-bd5e-77ab40b17142): select * from test
INFO  : Completed executing command(queryId=hive_20230307174345_eeccf5a0-2fde-4e6b-bd5e-77ab40b17142); Time taken: 0.0 seconds
INFO  : OK
+----------+----------+
| test.s1  | test.s2  |
+----------+----------+
| a        | b        |
| 1        | 2        |
+----------+----------+
2 rows selected (0.13 seconds)

登录user_w用户,只能写,不能读

8. Hue 使用验证

Hue初始账号一般是admin
通过创建hive账号,并且给与hive账号super权限
在这里插入图片描述
现在hive是最高权限用户组
创建hive组,讲hive用户退出default组,并将hive用户加入hive组
在这里插入图片描述
点击安全性,选择角色
在这里插入图片描述
在对用户赋予权限之前,要在服务器各个节点上先创建好角色
入user_r, user_w

useradd user_r
useradd user_w

再在hue先创建组,再创建用户
在这里插入图片描述
在安全性里添加对于单库或者单表得权限
在这里插入图片描述

在这里插入图片描述
这样就可以控制表了

陈同学�
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
apache-sentry-2.1.0-src.tar.gz
07-15
apache-sentry-2.1.0-src.tar.gz sentry2.1.0 源码包,自取啦啦啦,配合CDH6.3.2使用
CDH开启Kerberos+Sentry权限控制-实施配置指南
12-02
CDH开启Kerberos+Sentry权限控制-实施配置指南,完整的详细教程
sentry 完整搭建教程
01-31
sentry 完整搭建教程
sentry测试
05-19
sentry 测试!shell 脚本,涉及多维测试!
Sentry 授权
qq_39841823的博客
02-26 488
趁我未失忆之前,记录过去曾经的自己 文章目录前言一、架构概述?1.Sentry 组件2.主要概念3.User身份和Group映射4.基于roles的访问控制5.统一授权二、SentryHadoop生态系统的集成1.Hive and Sentry2.Impala and Sentry2.Sentry-HDFS同步2.读入数据总结 前言 sentryHadoop的基于角色的进行授权,SentryHadoop集群上经过身份验证的用户和应用程序提供了控制和实施数据权限分级的功能。Sentry可以与Apach
hive权限Sentry详细使用测试文档
张伟的专栏
01-16 1404
捐助大数据系列零基础由入门到实战视频大优惠 问题导读1.hive权限控制需要配置那个配置文件? 2.Hive授权的核心是什么? 3.如何实现 角色的授权和撤销? Hive从0.10版本(包含0.10版本)以后可以通过元数据来控制权限,Hive-0.10之前的版本对权限控制主要是通过Linux的用户和用户组来控制,不能对Hive表的CREATE、SELEC...
hive开通sentry权限问题梳理
寒夜
11-17 1204
一、hive权限变更缓慢 1、背景说明 2、问题分析 3、解决方式 二、sentry同步hive权限缓慢 1、背景说明 2、问题分析 三、sentry所用mysql字符集问题 1、背景说明 2、问题说明 3、解决办法 四、客户端下发问题 1、背景说明 2、问题说明 3、解决办法 五、yarn资源池配置 1、背景说明 2、问题说明 3、解决办法 六、sentry uri授权问题 1、问题说明 2、问题说明 3、解决办法 七、beeline启用sentry后,无法使用add file xxx 和add jar
CDH 之 Kerberos 安全认证和 Sentry 权限控制管理(一)
予挚之的博客
04-10 1126
Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,2016年3月成为Apache顶级项目。Sentry是一个基于角色的粒度授权模块,提供了对Hadoop集群上经过身份验证的用户提供了控制和强制访问数据或数据特权的能力。Kerberos+Sentry
cdh Hue集成sentry权限管理详细步骤
anguoan的博客
04-19 952
通过hue进行管理sentry权限
大数据之CDH数仓(17) | Sentry授权实战
Knight
10-13 758
Sentry授权实战 使用Sentry进行授权管理,需要使用Sentry的管理员用户对其他用户进行授权,授权的方式有两种,一是通过HUE进行可视化操作,一是使用HIVE中的授权语句进行操作。 Sentry实战之HUE 1)配置HUE支持Sentry 在HUE配置项中搜索“Sentry”,勾选Sentry。 1)查看Sentry权限管理中的管理员组。 在Sentry的配置项中搜索“管理员组”,其中包括hive、impala,只有当某用户所属组位于其中时,才可为其他用户授予权限。 2)在Hive集群所有节点
sentry 权限简介
05-18
sentry 授权 hadoop设置 控制数据访问 Sentry可以控制数据访问,并对已通过验证的用户提供数据访问特权。
saas-export项目-RBAC权限模型
weixin_46335487的博客
11-01 266
RBAC权限模型引入 (1)如何设计用户权限 普通的用户权限设计 三个表搞定(用户表,权限表,用户权限表) (2)有什么特点? 》1 租户增加,选成会大量的冗余数据! 》2 添加或者删除权限不方便 建议使用RBAC权限模型 RBAC权限模型介绍 (1)什么是RBAC权限模型? RBAC 是基于角色的访问控制(Role-Based Access Control ) (2)RBAC权限模型有什么特点? 》》1 先给角色设置权限 》》2 再给用户分配角色 》》3 最后用户得到这些角色的权限 》》
元数据权限授权管理框架:Apache Sentry 集成HIVE测试使用(二)
毛毛的博客
07-15 597
本文已使用CDH集成了sentry cdh版本的hadoop在对数据安全上的处理通常采用Kerberos+Sentry的结构。 kerberos主要负责平台用户的权限管理, sentry则负责数据的权限管理。 Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,它提供了细粒度级、基于角色的授权以及多租户的管理模式。类似的安全管理框架还有Hortonworks公司开源的Apache Ranger。 通过引进SentryHadoop目前可在以下方面满足企业和政府用户的RBAC需求:
0015-如何使用Sentry管理Hive外部表权限
weixin_34315665的博客
11-17 256
温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。 1.文档编写目的 本文档主要讲述如何使用Sentry对Hive外部表权限管理,并基于以下假设: 1.操作系统版本:RedHat6.5 2.CM版本:CM 5.11.1 3.集群已启用Kerberos和Sentry 4.采用具有sudo权限的ec2-user用户进行操作 2.前置准备 2.1创建外部表数据父目录 1.使用hive用户...
Apache Sentry架构介绍
weixin_33709364的博客
04-08 1002
介绍 Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,截止目前还是Apache的孵化项目,它提供了细粒度级、基于角色的授权以及多租户的管理模式。Sentry当前可以和Hive/Hcatalog、Apache Solr 和Cloudera Impala集成,未来会扩展到其他的Hadoop组件,例如HDFS和HBase。 特性...
加入sentry后普通用户访问hdfs文件权限问题
hcq_lxq的博客
12-11 1430
问题: 加入LDAP和sentry控制权限后,在每天服务器中添加了普通用户,例如hadoopuser,在hadoopuser下执行su - u hadooouser hdfs dfs -ls /user/hive/warehouse报错,报错信息如下。 ls: Permission denied: user=hadoopuser, access=READ_EXECUTE, inode="/user/hive/warehouse":hive:hive:drwxrwx--x 分析思路: ...
hadooprbac_hadoop集群认证和授权
weixin_39758953的博客
12-19 615
CDH 安全hadoop的HDFS和mapreduce均缺乏相应的安全机制,比如在HDFS中,用户只要知道某个block的blockID,便可以绕过NameNode直接从DataNode上读取该block,用户可以向任意DataNode上写block;在MapReduce中,用户可以修改或者杀掉任意其他用户的作业等。为了增强hadoop的安全机制,从2009年起,Apache专门抽出一个团队,从事...
CDH6 配置LDAP,Kerberos,Sentry
weixin_40004348的博客
10-14 2356
CDH6 配置LDAP,Kerberos,Sentry 1. 开启Sentry 控制Hive,Hue,Impala权限 1.1 在mysql中配置数据库 [root@cdh1 ~]# mysql -uroot -p //登陆mysql mysql> CREATE DATABASE sentry DEFAULT CHARACTER SET utf8; //创建sentry库 mysql> grant all on sentry.* to 'sentry'@'%' identified
sentry权限分配框架介绍
最新发布
10-20
Sentry权限分配框架是一种基于角色的访问控制(RBAC)系统,它能够帮助管理员管理不同用户对于不同数据库、表和列的访问权限Sentry的核心概念是组、角色和权限。管理员可以通过创建不同的组、角色和权限,来满足不同...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值