HBase的权限管理(namespace)
HBase的权限管理依赖协协处理器。所以我们需要配置hbase.security.authorization=true,以及hbase.coprocessor.master.classes和hbase.coprocessor.master.classes使其包含org.apache.hadoop.hbase.security. access.AccessController来提供安全管控能力
HBase提供的五个权限标识符:RWXCA,分别对应着READ('R'), WRITE('W'), EXEC('X'), CREATE('C'), ADMIN('A')
HBase提供的安全管控级别包括:
Superuser:拥有所有权限的超级管理员用户。通过hbase.superuser参数配置
Global:全局权限可以作用在集群所有的表上。
Namespace :命名空间级。
Table:表级。
ColumnFamily:列簇级权限。
Cell:单元级。
1、介绍
在HBase中,namespace命名空间指对一组表的逻辑分组,类似RDBMS中的database,方便对表在业务上划分。Apache HBase从0.98.0, 0.95.2两个版本开始支持namespace级别的授权操作,HBase全局管理员可以创建、修改和回收namespace的授权。
2、namespace
HBase系统默认定义了两个缺省的namespace
- hbase:系统内建表,包括namespace和meta表
- default:用户建表时未指定namespace的表都创建在此
创建namespace
[java] view plain copy
- hbase>create_namespace 'ai_ns'
删除namespace
[java] view plain copy
- hbase>drop_namespace 'ai_ns'
查看namespace
[java] view plain copy
- hbase>describe_namespace 'ai_ns'
列出所有namespace
[java] view plain copy
- hbase>list_namespace
在namespace下创建表
[java] view plain copy
- hbase>create 'ai_ns:testtable', 'fm1'
查看namespace下的表
[java] view plain copy
- hbase>list_namespace_tables 'ai_ns'
3、授权
具备Create权限的namespace Admin可以对表创建和删除、生成和恢复快照
具备Admin权限的namespace Admin可以对表splits或major compactions
授权tenant-A用户对ai_ns下的写权限
[ruby] view plain copy
- hbase>grant 'tenant-A' 'W' '@ai_ns'
回收tenant-A用户对ai_ns的所有权限
[ruby] view plain copy
- hbase>revoke 'tenant-A''@ai_ns'
当前用户:hbase
[java] view plain copy
- hbase>namespace_create 'hbase_perf'
- hbase>grant 'mike', 'W', '@hbase_perf'
当前用户:mike
[java] view plain copy
- hbase>create 'hbase_perf.table20', 'family1'
- hbase>create 'hbase_perf.table50', 'family1'
mike创建了两张表table20和table50,同时成为这两张表的owner,意味着有'RWXCA'权限
此时,mike团队的另一名成员alice也需要获得hbase_perf下的权限,hbase管理员操作如下
当前用户:hbase
[ruby] view plain copy
- hbase>grant 'alice', 'W', '@hbase_perf'
此时alice可以在hbase_perf下创建表,但是无法读、写、修改和删除hbase_perf下已存在的表
当前用户:alice
[ruby] view plain copy
- hbase>scan 'hbase_perf:table20'
报错AccessDeniedException
如果希望alice可以访问已经存在的表,则hbase管理员操作如下
当前用户:hbase
[java] view plain copy
- hbase>grant 'alice', 'RW', 'hbase_perf.table20'
- hbase>grant 'alice', 'RW', 'hbase_perf.table50'
在HBase中启用授权机制
hbase-site.xml
[html] view plain copy
- <property>
- <name>hbase.security.authorization</name>
- <value>true</value>
- </property>
- <property>
- <name>hbase.coprocessor.master.classes</name>
- <value>org.apache.hadoop.hbase.security.access.AccessController</value>
- </property>
- <property>
- <name>hbase.coprocessor.region.classes</name>
- <value>org.apache.hadoop.hbase.security.token.TokenProvider,org.apache.hadoop.hbase.security.access.AccessController</value>
- </property>
4、总结
HBase namespace特性是对表资源进行隔离的一种技术,隔离技术决定了HBase能否实现资源统一化管理的关键,提高了整体的安全性。