【sentry 到 ranger 系列】一、Sentry 的 Hive 鉴权插件

于 2024-01-12 08:00:00 发布
阅读量1.3k 收藏 32
点赞数 29
分类专栏: # 从 sentry 到 ranger 不得不知道的事儿 文章标签: sentry hive hadoop 大数据 数据仓库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45232029/article/details/135324190
版权

文章目录

一、前景引入

  在本系列的第一篇文章里【sentry 到 ranger 系列】sentry 的开篇 ,已经对 Sentry 所处的一个整体的位置有了了解,如下图所示 在这里插入图片描述
  接下来,从 Hive 的鉴权开始看一下 Sentry 究竟怎么实现的权限管理和提供的鉴权能力。

二、Sentry 对 Hive 【授权】的接管

2.1、权限数据的产生

  在了解权限的接管细节前,可以先了解下 Hive 的权限数据是由什么场景产生的。
  首先,Hive 本身是有一套权限管理的,甚至 Hive 本身的权限管理从权限粒度上来看比 Sentry 的粒度更细更好用。而使用 Sentry 的一个原因就是当 Hive 和 HDFS 都使用了 Sentry 之后,能自动完成 Hive 的权限到 HDFS 路径的映射,不用再在 HDFS 上考虑怎么维护权限信息甚至干脆不做权限验证(后续会做 HDFS 的这部分逻辑分析)。
  Sentry 接管 Hive 后,一共只有三种权限可配置:ALL、SELECT、INSERT。后面两个很好理解,而 ALL 权限,包含了查询和写入这两种使用以外的所有权限,比如 ALTER、CREATE 等等。这里简单做一下 Hive 和 Sentry 的权限粒度对比。

HiveSentry
ALLALL
SELECTSELECT
UPDATEINSERT
ALTER无单独管控能力,集成在ALL权限
CREATE无单独管控能力,集成在ALL权限
DROP无单独管控能力,集成在ALL权限
INDEX无单独管控能力,集成在ALL权限
LOCK无单独管控能力,集成在ALL权限
SHOW_DATABASE无单独管控能力,集成在ALL权限

  当 Sentry 接管了 Hive 之后,原先 Hive 的权限语法就不能用了,不过大部分两者用法都差不多,具体的使用可以直接参考官方的文档🦋 cloudera sentry 权限语法🦋
  除了以上原生的赋权操作,还有一部分操作是 Sentry 需要维护的,那就是库表的名称信息,试想一下,当 tom 有对表 testselect 权限,当执行 drop table 操作的时候,Sentry 应该怎么维护原先的权限关系呢?我们直接看一下 Sentry 源码中的一段描述,位置在 class SentryMetastorePostEventListener

  /**
   * Drop the privileges on the database. Note that child tables will be
   * dropped individually by client, so we just need to handle the removing
   * the db privileges. The table drop should cleanup the table privileges.
   */
  @Override
  public void onDropDatabase(DropDatabaseEvent dbEvent) throws MetaException {
  ...

  也就是说 Sentry 的做法是要解除原先表 test 的所有权限关系。同理可验证,当执行 alter table rename 操作的时候,Sentry 会更新 tom 的权限为更新后的表的权限。

2.2、插件源码跟踪

  从前面可以看到,Sentry 权限的更新包含两部分,一部分是授权语句,另一部分来自于库表的部分 DDL 操作。
  在前文【sentry 到 ranger 系列】sentry 的开篇中讲到的SentryHiveAuthorizationTaskFactoryImply就是同步授权语句的,而对 DDL 的权限处理就交给的是SentryMetastorePostEventListener。因此现在应该就能区分开,为什么这里有两个类都在做权限同步操作了。前文对SentryMetastorePostEventListener的细节聊得比较少,本篇重点聊聊SentryMetastorePostEventListener的实现,关键走通之后,SentryHiveAuthorizationTaskFactoryImply的细节也是同理的。
  下面我们看一下SentryMetastorePostEventListener做了哪些事情,这能从其实现方法中见微知著:

onConfigChange(ConfigChangeEvent): void
onCreateTable(CreateTableEvent): void
onDropTable(DropTableEvent): void
onAlterTable(AlterTableEvent): void
onAddPartition(AddPartitionEvent): void
onDropPartition(DropPartitionEvent): void
onAlterPartition(AlterPartitionEvent): void
onCreateDatabase(CreateDatabaseEvent): void
onDropDatabase(DropDatabaseEvent): void
onLoadPartitionDone(LoadPartitionDoneEvent): void
onAddIndex(AddIndexEvent): void
onDroplndex(DroplndexEvent): voidi
onAlterindex(AlterindexEvent): void
onCreateFunction(CreateFunctionEvent): void.
onDropFunction(DropFunctionEvent): void.
onlnsert(InsertEvent): void

  这也符合我们对其定位的推测,其方法都是对 DDL 的处理。以onDropTable为例,方法代码如下:


  @Override
  public void onDropTable(DropTableEvent tableEvent) throws MetaException {

    // don't sync paths/privileges if the operation has failed
    if (!tableEvent.getStatus()) {
      LOGGER.debug("Skip syncing paths/privileges with Sentry server for onDropTable event," +
        " since the operation failed. \n");
      return;
    }

    if (tableEvent.getTable().getSd().getLocation() != null) {
      String authzObj = tableEvent.getTable().getDbName() + "."
          + tableEvent.getTable().getTableName();
      for (SentryMetastoreListenerPlugin plugin : sentryPlugins) {
        plugin.removeAllPaths(authzObj, null);
      }
    }
    // drop the privileges on the given table
    if (!syncWithPolicyStore(AuthzConfVars.AUTHZ_SYNC_DROP_WITH_POLICY_STORE)) {
      return;
    }

    if (!tableEvent.getStatus()) {
      return;
    }

    dropSentryTablePrivilege(tableEvent.getTable().getDbName(),
        tableEvent.getTable().getTableName());
  }

  正常情况下就会走到方法dropSentryTablePrivilege


  private void dropSentryTablePrivilege(String dbName, String tabName)
      throws MetaException {
    List<Authorizable> authorizableTable = new ArrayList<Authorizable>();
    authorizableTable.add(server);
    authorizableTable.add(new Database(dbName));
    authorizableTable.add(new Table(tabName));

    try {
      dropSentryPrivileges(authorizableTable);
    } catch (SentryUserException e) {
      throw new MetaException(
          "Failed to remove Sentry policies for drop table " + dbName + "."
              + tabName + " Error: " + e.getMessage());
    } catch (IOException e) {
      throw new MetaException("Failed to find local user " + e.getMessage());
    }

  }
  private void dropSentryPrivileges(
      List<? extends Authorizable> authorizableTable)
      throws SentryUserException, IOException, MetaException {
    String requestorUserName = UserGroupInformation.getCurrentUser()
        .getShortUserName();
    try (SentryPolicyServiceClient sentryClient = SentryServiceClientFactory.create(authzConf)) {
      sentryClient.dropPrivileges(requestorUserName, authorizableTable);
    } catch (Exception e) {
      throw new MetaException("Failed to connect to Sentry service "
              + e.getMessage());
    }
  }

  dropPrivileges是抽象方法,实现在SentryPolicyServiceClientDefaultImpl:

  @Override
  public void dropPrivileges(String requestorUserName,
                             List<? extends Authorizable> authorizableObjects)
    throws SentryUserException {
    TSentryAuthorizable tSentryAuthorizable = setupSentryAuthorizable(authorizableObjects);

    TDropPrivilegesRequest request = new TDropPrivilegesRequest(
      ThriftConstants.TSENTRY_SERVICE_VERSION_CURRENT, requestorUserName,
      tSentryAuthorizable);
    try {
      TDropPrivilegesResponse response = client.drop_sentry_privilege(request);
      Status.throwIfNotOk(response.getStatus());
    } catch (TException e) {
      throw new SentryUserException(THRIFT_EXCEPTION_MESSAGE, e);
    }
  }

  这里的 Client 就是 Thfit 协议的客户端了,就能发送给 Sentry Server 的 Thrift 服务端。Thrift 的代码是挺好追踪的,我们就来看看怎么发送给 Thrift 服务端的。

2.3、Thrift 接口跟踪

  点进 client.drop_sentry_privilege(request) 方法里,就进入到了 Thrift 的接口定义,SentryPolicyService的内部类Clientdrop_sentry_privilege方法:

    public TDropPrivilegesResponse drop_sentry_privilege(TDropPrivilegesRequest request) throws org.apache.thrift.TException
    {
      send_drop_sentry_privilege(request);
      return recv_drop_sentry_privilege();
    }

  这个地方不用着急点进去,因为再点进去就是 Thrift 内部实现了,重点关注SentryPolicyService,看看它的签名:

@Generated(value = "Autogenerated by Thrift Compiler (0.9.3)", date = "2017-04-26")
public class SentryPolicyService {...}

  可以看到代码是被生成出来的,在使用 Thrift 的时候,会先对协议编写一个协议文件,以.thrift结尾,再由 Thrift 通过代码生成技术来生成各类 java 文件,这里像 SentryPolicyService 就是一个 Sentry 和 Hive 的协议定义的 java 文件体现,里面包含了对客户端的定义和服务端的定义以及接口方法处理的定义。其他还会生成接口消息的实体类等等。

@SuppressWarnings({"cast", "rawtypes", "serial", "unchecked"})
@Generated(value = "Autogenerated by Thrift Compiler (0.9.3)", date = "2017-04-26")
public class SentryPolicyService {
  public interface Iface {...}
  public interface AsyncIface {...}
  public static class Client extends org.apache.thrift.TServiceClient implements Iface {...}
  public static class AsyncClient extends org.apache.thrift.async.TAsyncClient implements AsyncIface {...}
  public static class Processor<I extends Iface> extends org.apache.thrift.TBaseProcessor<I> implements org.apache.thrift.TProcessor {...}
  public static class AsyncProcessor<I extends AsyncIface> extends org.apache.thrift.TBaseAsyncProcessor<I> {...}
  public static class create_sentry_role_args implements org.apache.thrift.TBase<create_sentry_role_args, create_sentry_role_args._Fields>, java.io.Serializable, Cloneable, Comparable<create_sentry_role_args> {...}
}

  对每一个客户端Client的方法,如上面的drop_sentry_privilege,都能在名为 Iface 的接口里面找到服务侧的同名方法:

    public TDropPrivilegesResponse drop_sentry_privilege(TDropPrivilegesRequest request) throws org.apache.thrift.TException;

  然后很方便的跳转到其实现方法,这里即服务端的SentryPolicyStoreProcessordrop_sentry_privilege方法:

  @Override
  public TDropPrivilegesResponse drop_sentry_privilege(
      TDropPrivilegesRequest request) throws TException {
    final Timer.Context timerContext = sentryMetrics.dropPrivilegeTimer.time();
    TDropPrivilegesResponse response = new TDropPrivilegesResponse();
    try {
      validateClientVersion(request.getProtocol_version());
      authorize(request.getRequestorUserName(), adminGroups);

      // TODO: now only has SentryPlugin. Once add more SentryPolicyStorePlugins,
      // TODO: need to differentiate the updates for different Plugins.
      Preconditions.checkState(sentryPlugins.size() <= 1);
      Update update = null;
      for (SentryPolicyStorePlugin plugin : sentryPlugins) {
        update = plugin.onDropSentryPrivilege(request);
      }
      if (update != null) {
        sentryStore.dropPrivilege(request.getAuthorizable(), update);
      } else {
        sentryStore.dropPrivilege(request.getAuthorizable());
      }
      response.setStatus(Status.OK());
    } catch (SentryAccessDeniedException e) {
      LOGGER.error(e.getMessage(), e);
      response.setStatus(Status.AccessDenied(e.getMessage(), e));
    } catch (SentryThriftAPIMismatchException e) {
      LOGGER.error(e.getMessage(), e);
      response.setStatus(Status.THRIFT_VERSION_MISMATCH(e.getMessage(), e));
    } catch (Exception e) {
      String msg = "Unknown error for request: " + request + ", message: "
          + e.getMessage();
      LOGGER.error(msg, e);
      response.setStatus(Status.RuntimeError(msg, e));
    } finally {
      timerContext.stop();
    }
    return response;
  }

  这样就进入到服务端的逻辑了,如此一来,对于 Thrift 的接口,就能将客户端和服务端的处理逻辑串联起来,对于我们理解业务逻辑或者debug,就够用了。
  至于服务端的架构和逻辑,我们在后面再探索。

三、Sentry 对 Hive 【鉴权】的接管

  通过前面的跟踪,在忽略 Sentry Server 怎么维护数据的情况下,现在已经对 Sentry 怎么收集 Hive 的权限信息有了足够的认知。接下来,就是这些数据怎么被使用了,也就是鉴权的部分。

3.1、鉴权在 Hive 处理数据中的生命周期

  当用户尝试访问 Hive 表或执行 Hive 操作时,HiveServer2 会与 HiveMetastore 进行通信,验证用户的权限是否允许其进行所请求的操作,当权限校验通过,才会执行数据处理作业。还是以删表为例,来看一下 HiveMetastore(HMS) 会怎么处理请求。
  HMS 也是一个 Thrift 的服务端实现,我们已经对 Thrift 不陌生了。HMS 继承自ThriftHiveMetastore,在Iface中能找到drop_table方法,在 HMS 中实际实现如下:


    private boolean drop_table_core(final RawStore ms, final String dbname, final String name,
        final boolean deleteData, final EnvironmentContext envContext,
        final String indexName) throws NoSuchObjectException,
        MetaException, IOException, InvalidObjectException, InvalidInputException {
      boolean success = false;
      boolean isExternal = false;
      Path tblPath = null;
      List<Path> partPaths = null;
      Table tbl = null;
      boolean ifPurge = false;
      Map<String, String> transactionalListenerResponses = Collections.emptyMap();
      try {
        ms.openTransaction();
        // drop any partitions
        tbl = get_table_core(dbname, name);
		...
        firePreEvent(new PreDropTableEvent(tbl, deleteData, this));
		...
        // Drop the partitions and get a list of locations which need to be deleted
        partPaths = dropPartitionsAndGetLocations(ms, dbname, name, tblPath,
            tbl.getPartitionKeys(), deleteData && !isExternal);
        if (!ms.dropTable(dbname, name)) {
          String tableName = dbname + "." + name;
          throw new MetaException(indexName == null ? "Unable to drop table " + tableName:
              "Unable to drop index table " + tableName + " for index " + indexName);
        } else {
          if (!transactionalListeners.isEmpty()) {
            transactionalListenerResponses =
                MetaStoreListenerNotifier.notifyEvent(transactionalListeners,
                                                      EventType.DROP_TABLE,
                                                      new DropTableEvent(tbl, true, deleteData, this),
                                                      envContext);
          }
          success = ms.commitTransaction();
        }
      } finally {
        if (!success) {
          ms.rollbackTransaction();
        } else if (deleteData && !isExternal) {
          // Data needs deletion. Check if trash may be skipped.
          // Delete the data in the partitions which have other locations
          deletePartitionData(partPaths, ifPurge);
          // Delete the data in the table
          deleteTableData(tblPath, ifPurge);
          // ok even if the data is not deleted
        }

        if (!listeners.isEmpty()) {
          MetaStoreListenerNotifier.notifyEvent(listeners,
                                                EventType.DROP_TABLE,
                                                new DropTableEvent(tbl, success, deleteData, this),
                                                envContext,
                                                transactionalListenerResponses, ms);
        }
      }
      return success;
    }

  其中firePreEvent实现如下:

    private void firePreEvent(PreEventContext event) throws MetaException {
      for (MetaStorePreEventListener listener : preListeners) {
        try {
          listener.onEvent(event);
        } catch (NoSuchObjectException e) {
          throw new MetaException(e.getMessage());
        } catch (InvalidOperationException e) {
          throw new MetaException(e.getMessage());
        }
      }
    }

  MetaStoreListenerNotifier.notifyEvent实现如下:

  /**
   * Notify a list of listeners about a specific metastore event. Each listener notified might update
   * the (ListenerEvent) event by setting a parameter key/value pair. These updated parameters will
   * be returned to the caller.
   *
   * @param listeners List of MetaStoreEventListener listeners.
   * @param eventType Type of the notification event.
   * @param event The ListenerEvent with information about the event.
   * @return A list of key/value pair parameters that the listeners set. The returned object will return an empty
   *         map if no parameters were updated or if no listeners were notified.
   * @throws MetaException If an error occurred while calling the listeners.
   */
  public static Map<String, String> notifyEvent(List<MetaStoreEventListener> listeners,
                                                EventType eventType,
                                                ListenerEvent event) throws MetaException {

    Preconditions.checkNotNull(listeners, "Listeners must not be null.");
    Preconditions.checkNotNull(event, "The event must not be null.");

    for (MetaStoreEventListener listener : listeners) {
      notificationEvents.get(eventType).notify(listener, event);
    }

    // Each listener called above might set a different parameter on the event.
    // This write permission is allowed on the listener side to avoid breaking compatibility if we change the API
    // method calls.
    return event.getParameters();
  }

  也就是说,一次删表行为,在 HMS 中经历了大致如下的生命周期:

1、MetaStorePreEventListener 处理 -> 2、HMS 处理元数据(transactionalListeners) -> 3、MetaStoreEventListener 处理

  和前面的授权的接管联系起来可以看到,SentryMetastorePostEventListener是处于第3个阶段;那么用于鉴权的操作推测应该就是处于第1个阶段,应该是继承了MetaStorePreEventListener

3.2、MetastoreAuthzBinding

  如前面所言,MetastoreAuthzBinding 就是Sentry 插件继承了MetaStorePreEventListener 的实现,前面的firePreEvent方法中看到是直接调的 listener 的onEvent方法,所以直接看MetastoreAuthzBindingonEvent方法:

  /**
   * Main listener callback which is the entry point for Sentry
   */
  @Override
  public void onEvent(PreEventContext context) throws MetaException,
      NoSuchObjectException, InvalidOperationException {

    if (!needsAuthorization(getUserName())) {
      return;
    }
    switch (context.getEventType()) {
    case CREATE_TABLE:
      authorizeCreateTable((PreCreateTableEvent) context);
      break;
    case DROP_TABLE:
      authorizeDropTable((PreDropTableEvent) context);
      break;
    case ALTER_TABLE:
      authorizeAlterTable((PreAlterTableEvent) context);
      break;
    case ADD_PARTITION:
      authorizeAddPartition((PreAddPartitionEvent) context);
      break;
    case DROP_PARTITION:
      authorizeDropPartition((PreDropPartitionEvent) context);
      break;
    case ALTER_PARTITION:
      authorizeAlterPartition((PreAlterPartitionEvent) context);
      break;
    case CREATE_DATABASE:
      authorizeCreateDatabase((PreCreateDatabaseEvent) context);
      break;
    case DROP_DATABASE:
      authorizeDropDatabase((PreDropDatabaseEvent) context);
      break;
    case LOAD_PARTITION_DONE:
      // noop for now
      break;
    default:
      break;
    }
  }

  还是以删表为例,发现所有操作其实都被封装成了校验对象,走到MetastoreAuthzBindingauthorize方法,这里用到了 Sentry 封装的一个校验模块:sentry-provider,其整个校验被抽象为三部分组件:
AuthorizationProviderPolicyEngineProviderBackend,调用关系大致如下
在这里插入图片描述
  通过这种方式,将校验的通用部分抽离,差异部分实现不同实现类,主要分为 DB、搜索引擎、Kafka等类型。最后的ProviderBackend集成了 Sentry 的 Thrift Client,根据要校验的信息,从 Sentry Server 中拉取数据实现鉴权,如果校验不通过,则通过抛异常的方式被捕获处理后返回给用户端。至此整个鉴权的逻辑完成闭环√

四、收尾

  本篇从 Sentry 收集 Hive 权限信息,到 Sentry 的鉴权插件怎么在 Hive 和 Sentry 之间实现鉴权,进行了梳理,对关键代码进行了解析,能从感性和理性的角度都对 Sentry 接管 Hive 权限有更深入的认识。
  如果对在读的你有帮助,希望能给个一键三连(。•̀ᴗ-)✧

猫语大数据
关注
  • 29
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
sentryranger 系列】序
weixin_45232029的博客
12-22 361
立下 flag 啦
Ranger学习——基础概念
02-23
大数据最基本就是数据以及用于计算的资源,需要将相应的数据和资源开放给对应的用户使用,以防被窃取、被破坏造成损失,这个就涉及大数据安全。主流的大数据安全组件Kerberos由于使用临时的用户验证机制不适用用户多的情况、Sentry只适用少部分的Hadoop生态组件应用场景少。ApacheRanger作为标准化的访问控制层,引入统一的权限模型与管理界面,极大地简化了数据权限的管理,统一的权限管理降低了学习成本,非常易于使用。ApacheRanger:一个用于在整个Hadoop平台上使用,用来监视和管理全面的数据安全性的框架。主要是提供一个集中式安全管理框架,并解决授权和审计问题。特点:集中式安全管
hive开通sentry权限问题梳理
寒夜
11-17 1198
一、hive权限变更缓慢 1、背景说明 2、问题分析 3、解决方式 二、sentry同步hive权限缓慢 1、背景说明 2、问题分析 三、sentry所用mysql字符集问题 1、背景说明 2、问题说明 3、解决办法 四、客户端下发问题 1、背景说明 2、问题说明 3、解决办法 五、yarn资源池配置 1、背景说明 2、问题说明 3、解决办法 六、sentry uri授权问题 1、问题说明 2、问题说明 3、解决办法 七、beeline启用sentry后,无法使用add file xxx 和add jar
sentry权限控制
weixin_43866666的博客
03-07 1015
Apache Sentry是一个可以对Hadoop集群中的数据及元数据进行细粒度管理的权限管理系统。Sentry目前可以与ApacheHiveHiveMetastore / HCatalog,Apache Solr,Impala和HDFS(仅限于Hive表数据)等进行集成,对其数据进行权限管理
Apache sentry架构分析-(与hive、hdfs集成)
张伟的专栏
08-26 818
Apache sentry架构分析-(与hive、hdfs集成) 本文链接:https://blog.csdn.net/hongtaq156136/article/details/88035573 前言 Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,它提供了细粒度级、基于角色的授权以及多租户的管理模式。类似的安全管理框架还有Hortonworks公司开源的Apache Ranger。 通过引进SentryHadoop目前可在以下方面满足企业和政府用户的RBAC
sentryranger 系列sentry 的开篇
最新发布
weixin_45232029的博客
12-25 854
sentry 的引入,能了解到 sentryhive 的千丝万缕的联系
0439-Hive启用Sentry后如何限制用户提交Yarn资源池
01-07
温馨提示:如果使用电脑...通过放置策略可以自动的将用户分的作业分配到对应的资源池,如果用户手动指定资源池则也可以正常提交作业到指定的资源池,因此需要结合Yarn队列的ACL控制,可以防止用户随意指定资源池问题。
hapi-sentry:一个用于请求错误记录到Sentry的hapi插件
02-14
一个hapi用于将请求错误记录到。 用法 像这样使用hapi插件: const server = hapi . server ( ) ; await server . register ( { plugin : require ( 'hapi-sentry' ) , options : { client : { dsn : 'dsn-here...
datasette-sentry:用于配置Sentry的Datasette插件
02-14
Datasette插件,用于配置Sentry进行错误报告。 该插件不适用于当前版本的Datasette。 参见 。 安装 pip install datasette-sentry 用法 这个插件只有当您的生效metadata.json文件包含在相关顶级插件配置"datasette...
webpack-sentry-plugin:Webpack插件,用于将源地图上传到Sentry
02-06
一个webpack插件,用于将源地图上传到 。 当前版本2与webpack 4和5兼容,并且至少需要NodeJS 6。 如果您在Webpack 1、2或3上运行,请使用模块的专用版本1(当前为1.16.0 ),该版本提供相同的API。 安装 使用npm:...
sentry-wxwork:Sentry插件,允许通过微信工作发送通知和SSO登录
05-24
注意: sentry 20.x删除了对旧版插件的支持,因此此插件仅适用于哨兵9.x-10.x。 准备 安装插件: :将sentry-wxwork放到requirements.txt 手册: pip install sentry-wxwork 从WeChat Work管理控制台()获取所需...
大数据权限授权管理框架:Apache SentryRanger
走在前往架构师的路上
01-05 9255
文章目录前言SentryRanger的概述 前言 上篇文章后半部分提到了业界流行的大数据权限管理框架Apache SentryRanger。二者在功能上具有很高的相似性,但是在具体细节上上篇文章阐述的还不够细致。本文笔者来深入浅出地聊聊这两个框架,以及它们的少许异同点。熟悉掌握使用外部权限管理框架,并且将它们合理地应用于自身内部大数据组件系统内,无疑将会大大提高内部组件使用的安全性。 Sen...
基于Sentry和Hue实现Hive权限控制(非认证情况)
weixin_33022765的博客
03-14 894
基于Sentry和Hue实现Hive权限控制(非认证情况) 目录基于Sentry和Hue实现Hive权限控制(非认证情况)1 写在前面2 安装Sentry服务2.1 创建数据库2.2 添加Sentry服务3 Hive/Hue服务与Sentry集成3.1 Hive配置3.2 Hue配置4 配置Hive权限5 Sentry权限验证测试6 参考文档 1 写在前面 Sentry组件由Clodera公司提供的安全授权管理工具。我们可以使用该组件实现hive的分租户权限管理。 在此之前,需要明确:CDH平台中的安全,认
大数据权限管理框架:Apache SentryRanger
Sunny的专栏
04-11 725
一、简介 Apache SentrySentry是由Cloudera公司内部开发而来的,初衷是为了让用户能够细粒度的控制Hadoop系统中的数据(这里主要指HDFS,Hive的数据)。所以Sentry对HDFS,Hive以及同样由Cloudera开发的Impala有着很好的支持性。 Apache Ranger: Ranger则是由于另一家公司Hortonworks所主导。它同样是做细粒度的权限控制。但相比较于Sentry而言,它能支持更丰富的组件,包括于 HDFS, Hive, HBase, Yar
基于Apache SentryHive权限管理
高矮
12-04 4572
前言:本文是基于Apache SentryHive权限管理的相关配置及测试 hue权限管理请参考:https://blog.csdn.net/u012551524/article/details/79392439 hive自身的权限管理请参考:https://blog.csdn.net/u012551524/article/details/79655370 CDH环境安装参考:https:...
大数据安全:Ranger与Sentry使用区别
周源的专栏
11-22 8994
近期在研究大数据安全领域,从使用形式上简单来说: Sentry:RBAC(role-based acess control)基于角色的管理,比如Cloudera用的是Sentry,华为的FusionInsight也采用类似的机制。 即:通过创建角色,将每个组件的权限授予给此角色。然后在用户中添加此角色,即用户具备此角色访问组件的权限(组也类似) Ranger: PBAC(policy
SentryRanger
Sin_Geek成长の迹
11-07 1500
Sentry:RBAC(role-based acess control)基于角色的管理,比如Cloudera用的是Sentry,华为的FusionInsight也采用类似的机制。 即:通过创建角色,将每个组件的权限授予给此角色。然后在用户中添加此角色,即用户具备此角色访问组件的权限(组也类似) Ranger: PBAC(policy-based acess control)基于策略的管理,比如H...
基于 Sentry Hive 权限控制命令详解
jast
08-11 6184
Sentry不支持Hive CLI列权限管理,建议禁用Hive CLI。 (也不支持SparkSql列权限管理) #权限分为 SELECT ,INSERT ,ALL #查看所有role show roles; #创建role create role role_name; #删除role drop role role_name; #将某个数据库读权限授予给某个role GRAN...
CDH Sentry 管理Hive鉴权
weixin_33736649的博客
11-24 744
在CM管理界面上要开启一些选项,这里不做详细说明,网上一查都有,推荐文章http://www.jianshu.com/p/055c40dcb8c5 但仅限于看配置的内容,至于下面的,作者没有详细解释sentry的权限设置是在hive sql中完成的,需要用Beeline登录,如beeline -u jdbc:hive2://hiveIP:10000 -n user -p pa...
SentryRanger具体如何使用
06-01
SentryRanger是CDH中常用的细粒度授权管理工具,下面分别介绍它们的使用方法: 1. Sentry的使用 (1)安装和配置Sentry 首先需要在CDH集群中安装和配置Sentry服务。具体安装和配置步骤可以参考CDH文档中的说明。 (2)创建角色和授权 可以使用Sentry提供的命令行工具或Web界面来创建角色和授权。例如,以下命令可以创建一个名为“finance_analyst”的角色,并将其授权访问表“my_table”: ``` $ sentry --command create-role --role finance_analyst $ sentry --command grant --role finance_analyst --privilege "server=server1->db=my_database->table=my_table->action=select" ``` (3)验证授权 创建角色和授权之后,可以使用授权用户的身份来验证授权是否生效。例如,可以使用以下命令来验证用户“user1”是否可以访问表“my_table”: ``` $ beeline -u jdbc:hive2://localhost:10000 -n user1 -e "select * from my_table" ``` 2. Ranger的使用 (1)安装和配置Ranger 首先需要在CDH集群中安装和配置Ranger服务。具体安装和配置步骤可以参考CDH文档中的说明。 (2)创建策略和条件 可以使用Ranger提供的Web界面来创建策略和条件。例如,可以创建一个策略,仅允许特定用户访问表“my_table”。在创建策略时,可以指定访问条件,例如“user=user1”。 (3)验证授权 创建策略之后,可以使用授权用户的身份来验证授权是否生效。例如,可以使用以下命令来验证用户“user1”是否可以访问表“my_table”: ``` $ beeline -u jdbc:hive2://localhost:10000 -n user1 -e "select * from my_table" ``` 综上所述,SentryRanger的使用方法都比较简单,可以根据实际需求选择合适的工具来管理Hive数据表的访问权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

猫语大数据

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值