Trino基于文件的访问控制(包括数据脱敏)

已于 2024-04-11 09:20:07 修改
阅读量1k 收藏 15
点赞数 10
分类专栏: Trino 文章标签: linux sql database hadoop big data
于 2024-04-10 17:51:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwpzzz/article/details/137601337
版权
ThisarticleguidesthroughTrinosaccesscontrolsetup,coveringusergroupconfiguration,system-levelandtable-levelrulesin`access-control.properties`and`rules.json`,withemphasisoncatalog,schema,andtablepermissions,conflictresolution,andfieldmaskingfordataprivacy.
摘要由CSDN通过智能技术生成

最近尝试对trino查询的不同用户授予不同权限,并对数据进行脱敏。

但是翻阅官网的资料比较简单并且没有特别详尽的示例,现在我对其进行了汇总总结。

由于此处只是做了一些测试汇总,其余资料请参照官网链接:基于文件的访问控制 — Trino 444 文档

一、准备配置文件

1. 用户组配置

官网文档:File group provider — Trino 444 Documentation

配置文件:

etc/group-provider.properties   

group-provider.name=file
# 用户组配置文件
file.group-file=/mnt/disk1/superior/trino/trino375/etc/group.txt 

# 文件刷新时间(无需重启trino服务)

file.refresh-period=5s

etc/group.txt

hive:test,zwp
admin:root,admin
guest:guest
human_resources:human_resources 

这是进行访问控制的第一步,准备必要的用户 

 2.系统级访问控制文件

etc/access-control.properties

# default,allow-all,read-only,file        
access-control.name=file
# 规则json本地文件
security.config-file=etc/rules.json
# etc/rules.json文件的自动的refresh的周期
security.refresh-period=1s

3.访问规则配置文件

etc/rules.json

{                                                             
  "catalogs": [
    {
      "role": "admin",
      "catalog": ".*",
      "allow": "all"
    },
    {
      "user": "root",
      "catalog": "(mysql|hive|system)",
      "allow": true
    },
    {
      "group": "human_resources|guest",
      "catalog": "(system|hive|mysql)",
      "allow": true
    },
    {
      "catalog": "system",
      "allow": "none"
    },
    {
      "user": "test",
      "catalog": "(system|hive|mysql)",
      "allow": true
    },
    {
      "user": "zwp",
      "catalog": "hive",
      "allow": "all"
    }
  ],
  "schemas": [
    {
      "role": "admin",
      "schema": ".*",
      "owner": true
    },
    {
      "user": "human_resources",
      "owner": false
    },
    {
      "user": "test",
      "schema": "db_2",
      "owner": false
    },
    {
      "catalog": "mysql",
      "schema": ".*",
      "owner": true
    },
    {
      "catalog": "hive",
      "schema": "domain_20230930",
      "owner": true
    }
  ],
  "tables": [
    {
      "role": "admin",
      "privileges": ["SELECT", "INSERT", "DELETE", "UPDATE", "OWNERSHIP"]
    },
    {
      "user": "zwp",
      "privileges": []
    },
    {
      "catalog": "hive",
      "schema": "domain_20230930",
      "table": "cbs_d_person",
      "privileges": ["SELECT"],
      "filter": "customer_no < '00010'",
      "filter_environment": {
        "user": "test"
      }
    },
    {
      "catalog": "hive",
      "schema": "domain_20230930",
      "table": "cbs_d_card",
      "privileges": ["SELECT"],
      "columns": [
         {
            "name": "account_key",
            "allow": false
         },
         {
            "name": "card_no",
            "mask": "substring(card_no, -4)"
         }
      ]
    },
    {
      "catalog": "mysql",
      "schema": "db_1",
      "table": "raw_trades",
      "privileges": ["SELECT"],
      "columns" : [
         {
            "name": "item_price",
            "allow": false
         },
         {
            "name": "dispatch_province",
            "mask": "substring(dispatch_province, -2)",
            "mask_environment": {
              "user": "test"
            }
         }
      ]
    }
  ]

 二、规则配置文件详解及规范

erc/rules.json主要分为三部分:catalogs,schemas,tables

权限控制规范

1. catalogs 级别

选择 role,需要配置 catalog  必填 allow   (一般只有一个role如admin ,catalog为 .* , allow为all ,拥有所有权限)
选择 group(可多选),需要配置 catalog(可多选)  必填 allow 。
选择 user(可多选), 需要配置 catalog(可多选)  必填 allow。
选择 catalog (可多选),必填 allow 。

allow值说明:

allow必填, 可选all  / read-only / none ,none为默认值; allow选择 true 等同于 all, false 等同于 none,为统一规范,allow最好不用true 和 false。

需要注意的是,配置时 最好 role 最前,group,user, catalog 依次向后,避免权限冲突配置失败。

在Trino中,访问控制规则的优先级通常是按照它们在规则文件中出现的顺序来确定的。后者访问规则将覆盖之前的规则。

冲突示例:

{
  "catalog": "system|mysql",
  "allow": "none"
},
{
  "user": "test",                  
  "catalog": "(system|hive|mysql)",
  "allow": true
}

如上,test用户就无法访问 system 的 catalog。

2. schemas 级别

选择 role,需要配置  catalog schema  owner(一般默认配置 role拥有所有权限)。
选择 group(可多选),可选 catlog  必须配置  schema  owner。
选择 user(可多选),可选 catlog  必须配置 schema   owner。
选择 catalog(可多选) ,必须配置 schema  owner。

上述所有如果不选择catalog  直接写 schemas 然后 owner 为true,表示拥有所有的catlog的同名schema 权限(所以最好是写上catalog,保证权限精确控制)。

3. tables 级别权限

选择 role,配置 privileges(必填,内容可选)  (一般默认配置 role拥有所有权限)
选择 group(可多选), 配置 privileges(必填,内容可选)
选择 user(可多选) ,配置 privileges(必填,内容可选)

重点:单表或者多表权限控制

选择 catalog   必须配置  schema  table  privileges(必填,内容可选)

过滤表内容

必填 filter(过滤条件,如 customer_no < '00010') ,filter_environment(可选,一般配置具体的user;不填时对所有user生效) 

{
  "catalog": "hive",
  "schema": "domain_20230930",
  "table": "cbs_d_person",
  "privileges": ["SELECT"],
  "filter": "customer_no < '00010'",
  "filter_environment": {
    "user": "test"
  }
}

字段级别控制 

选择  columns 必填 name(字段名)  

禁止访问某字段

必填 allow (值为false)

某字段脱敏

必填mask(脱敏规则) ,mask_environment(可选,一般配置具体的user;不填时对所有user生效) 

{
  "catalog": "mysql",
  "schema": "db_1",
  "table": "raw_trades",
  "privileges": ["SELECT"],
  "columns" : [
     {
        "name": "item_price",
        "allow": false
     },
     {
        "name": "dispatch_province",
        "mask": "substring(dispatch_province, -2)",
        "mask_environment": {
          "user": "test"
        }
     }
  ]
}

对于多选例子参考:
"group": "finance|human_resources"
"user": "alice|zwp"
"catalog": "mysql|system"

配置文件详解 

1.catalogs 级别

  "catalogs": [
    {
      "role": "admin",
      "catalog": ".*",
      "allow": "all"
    },
    {
      "user": "root",
      "catalog": "(mysql|hive|system)",
      "allow": true
    },
    {
      "group": "human_resources|guest",
      "catalog": "(system|hive|mysql)",
      "allow": true
    },
    {
      "catalog": "system",
      "allow": "none"
    },
    {
      "user": "test",
      "catalog": "(system|hive|mysql)",
      "allow": true
    },
    {
      "user": "zwp",
      "catalog": "hive",
      "allow": "all"
    }
  ]

role:admin 角色拥有所有catalogs的权限
user:root 用户拥有 mysql|hive|system 三个catalogs权限
group:human_resources|guest 用户组 拥有 mysql|hive|system 三个catalogs权限

这里的拥有指 show catalogs 时可见的 catalog。

2. schemas 级别 与 tables 级别

  "schemas": [
    {
      "role": "admin",
      "schema": ".*",
      "owner": true
    },
    {
      "group": "human_resources",
      "owner": false
    },
    {
      "user": "test",
      "schema": "db_2",
      "owner": false
    },
    {
      "catalog": "mysql",
      "schema": ".*",
      "owner": true
    },
    {
      "catalog": "hive",
      "schema": "domain_20230930",
      "owner": true
    }
  ],
  "tables": [
    {
      "role": "admin",
      "privileges": ["SELECT", "INSERT", "DELETE", "UPDATE", "OWNERSHIP"]
    },
    {
      "user": "zwp",
      "privileges": []
    },
    {
      "catalog": "hive",
      "schema": "domain_20230930",
      "table": "cbs_d_person",
      "privileges": ["SELECT"],
      "filter": "customer_no < '00010'",
      "filter_environment": {
        "user": "test"
      }
    },
    {
      "catalog": "hive",
      "schema": "domain_20230930",
      "table": "cbs_d_card",
      "privileges": ["SELECT"],
      "columns": [
         {
            "name": "account_key",
            "allow": false
         },
         {
            "name": "card_no",
            "mask": "substring(card_no, -4)"
         }
      ]
    },
    {
      "catalog": "mysql",
      "schema": "db_1",
      "table": "raw_trades",
      "privileges": ["SELECT"],
      "columns" : [
         {
            "name": "item_price",
            "allow": false
         },
         {
            "name": "dispatch_province",
            "mask": "substring(dispatch_province, -2)",
            "mask_environment": {
              "user": "test"
            }
         }
      ]
    }
  ]

由于,tables 级别权限 会影响到 schemas 级别的权限,所以这里一同说明 。

权限生效问题:rules.json 文件是自上而下读取,依次生效的,但是更具体的权限会覆盖到上一级。
如schemas里,对某个schema设置owner权限,比某个用户或者用户组设置 catalog owner权限更具体,所以前者配置在后者配置的后面时正常生效。
但是在catalogs里,system catalog 的权限 要比 后面设置的 user的 catalogs 权限更具体,所以前者配置哪怕在后者配置前,也不会被后者的配置覆盖。

这里的权限指可见性 show。

schemas 权限解释 

role: admin 为超级管理员,三级权限一般都默认设置为全部。
group:human_resources 用户组在 schemas 的 owner 为false,意味着没有任何的 schemas 权限,但是后面又设置了mysql所有的 schemas 和 hive的 domain_20230930 的owner为true ,
所以 show schemas in mysql 可以看到所有的 mysql schemas, show schemas in hive可以看到 domain_20230930。 
catlog:hive 的 domain_20230930 的 owner 为true,意味着所有的user 都在 show schemas in hive可以看到 domain_20230930。

tables 权限解释

group:human_resources 用户组在schemas的设置权限不如具体表的设置权限更具体,所以他也可以查询tables级别设置的表。

user:zwp 用户不具备对任何表的任何权限,虽然后续的表权限设置更具体,但是只能让它 show tables 时看到该表,而不具备select 权限。

user: test 用户在select 查询 hive.domain_20230930.cbs_d_person 时,数据会过滤筛选到符合filter条件的数据

tables: hive.domain_20230930.cbs_d_card 该表对任何用户都具有查询权限,同时查询时,会对字段card_no脱敏,字段account_key不可查询。

具体记录就这么多,可能会有没有记录的东西可以找我沟通。

Crazy_battle
关注
  • 10
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
3.5 Trino二次开发-动态数据源管理-代码实现
万般皆苦,唯有自渡
01-18 8310
目录 前言 代码实现 1.Restful接口 2.数据源信息注册到ConnectorManager、CatalogManager 3.通过Announcer机制广播数据源信息 4.DiscoveryNodeManager的refreshNodesInternal维护数据源信息 5.完整代码地址 总结 前言 上文中对动态数据源的二次开发方案进行了表述,本文将从代码的层面,实现Trino动态数据源的管理。 代码实现 代码实现上,我们依旧从开发方案中提到的4个步骤入手,对核心代码进行刨析。
3.4 Trino二次开发-动态数据源管理-开发方案设计
万般皆苦,唯有自渡
01-14 7693
目录 前言 1.前提 2.不足 3.方案介绍 步骤1 步骤2 步骤3 步骤4 总结 前言 前面的文章中,围绕着Catalog对Trino的源码进行了调研和解析,了解了Catalog加载过程中都做了哪些的工作。本文将围绕动态数据源管理为主题,进行二次开发方案的阐述。 开发方案设计 1.前提 首先强调几个小的前提 我们管理的动态数据源,是基于当前Trino的Plugin支持的数据源类型。 Trino对数据源的支持粒度是集群节点级别的。举个例子,假设Trino集群Test有三个..
Trino结合Ranger 2.3控制访问权限
无名的博客
10-25 3475
Trino 结合 Ranger2.3 控制用户访问权限
trinoTrino的官方存储库,Trino是大数据的分布式SQL查询引擎,以前称为PrestoSQL(https:trino.io)
01-30
Trino是用于大数据分析的快速分布式SQL查询引擎。 有关部署说明和最终用户文档,请参见《》。 发展历程 有关代码样式,开发过程和准则的信息,请参见“”。 请参阅的贡献。 建造要求 Mac OS X或Linux Java 11.0.7 +,64位 码头工人 建筑物特里诺 Trino是一个标准的Maven项目。 只需从项目根目录运行以下命令: ./mvnw clean install -DskipTests 在第一个版本中,Maven从Internet下载所有依赖项并将它们缓存在本地存储库( ~/.m2/repository )中,这可能需要一些时间,具体取决于您的连接速度。 后续构建速度更快。 Trino具有一组全面的测试,这些测试需要花费大量时间才能运行,因此上述命令将其禁用。 提交拉取请求时,这些测试由CI系统运行。 我们建议仅针对您更改的代码区域在本地运行测试。 在您的IDE中运行Trino 总览 首次构建Trino后,您可以将项目加载到IDE中并运行服务器。 我们建议使用 。 由于Trino是标准的Maven项目,因此您可以轻松地将其导入到IDE中。 在Intell
Apache Paimon-Trino 使用教程
最新发布
gitblog_00512的博客
08-07 570
Apache Paimon-Trino 使用教程 paimon-trinoTrino Connector for Apache Paimon.项目地址:https://gitcode.com/gh_mirrors/pai/paimon-trino 项目介绍 Apache Paimon-Trino 是一个开源项目,旨在将 Apache Paimon 与 Trino 集成,提供高性能的数据查询和处理...
trino(prestoSQL 329)文档 - 1.概览
大怀特的博客
12-06 1281
概览1.1 使用案例Prosto 不能做什么Presto可以做什么1.2 Presto概念介绍Server类型Coordinatorworker数据源ConnectorCatalogSchemaTable查询模型StatementQueryStageTasksplitDriverOperatorExchange Presto 是一个分布SQL查询引擎,设计用来查询大的分布式数据集,分布在一个或更多不同总类的数据源. 1.1 使用案例 这节全面介绍Presto,这样潜在的管理员和用户知道可以在Presto得到
Trino文档 - 概览(新)
大怀特的博客
12-07 2602
概览使用案例Trino 不能做什么Trino 可以做什么1.2 Trino 概念概览Server类型Coordinatorworker数据源ConnectorCatalogSchemaTableQuery执行模型StatementQueryStageTasksplitDriverOperatorExchange Trino 是一个分布SQL查询引擎,设计用来查询大的分布式数据集,分布在一个或更多不同总类的数据源. 使用案例 这节全面介绍Trino,这样潜在的管理员和用户知道可以从Trino期待什么. Tri
Trino实战】Hive connector功能性文档
coding and writing
05-31 1354
Hive connector 相关
trino权威指南】使用trino详解:trino client安装、查询sql、DBeaver连接trino、java通过JDBC连接trino
hiliang521的博客
12-06 6400
trino权威指南】使用trino详解:trino client安装、查询sql、DBeaver连接trino、java通过JDBC连接trino
基于Trino358和Carbondata2.2.0编译的Trino Carbondata Plugin
08-16
Trino完全基于内存的并⾏计算,分布式SQL交互式查询引擎.是一种Massively parallel processing (MPP)架构,多个节点管道式执⾏,⽀持任意数据源(通过扩展式Connector组件),数据规模GB~PB级使用的技术,如向量计算...
trino优化宝典,trino优化宝典
03-13
Trino作为一个分布式查询引擎,其核心架构包括以下几个关键组件: 1. **集群**:Trino集群由一个**Coordinator**和多个**Worker**节点构成。 2. **Coordinator**:负责SQL语句的解析、查询执行计划的制定以及整个...
3.2 Trino二次开发-动态数据源管理-源码解读2
万般皆苦,唯有自渡
12-28 7478
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分
《Presto(Trino)——The Definitive Guide》Presto指南20版
个人总结
02-25 2142
Presto系列文章目录 This book provides a great introduction to Presto and teaches you everything you need to know to start your successful usage of Presto. —Dain Sundstrom and David Phillips, Creators of the Presto Projects and Founders of the Presto Software Fou
Trino安装使用及权限控制
shy_snow的专栏
05-06 4187
Trino是一个分布式SQL查询引擎,旨在查询分布在一个或多个异构数据源上的大型数据集。支持丰富的数据源连接方式,支持库、表和字段级别的权限控制,以及支持通过资源组实现类似队列的资源使用控制。这些都需要手工进行配置,这是不方便的地方。
Trino实战】Trino调研说明
coding and writing
06-24 2293
Trino是一个分布式SQL查询引擎,旨在查询分布在一个或多个异质数据源的大型数据集。
Trino配置和SQL语法
nniuer的博客
12-15 850
trino
trino https】trino权限验证开启https
热门推荐
你的博客
12-03 1万+
一. 背景 presto使用的很顺利,项目要求把presto的账号开放出去,供其他用户自己使用。因为目前的presto的jdbc链接是没有口令的,只要拿到这个链接,任何人都可以使用,且无法追踪任务提交的用户,这对presto和集群是一个大的风险,因此需要给presto加上权限控制。因为presto有两个版本,一个是目前的facebook的prestodb,更新到0.265.1,目前我们使用的prestodb0.220,另一个是创始团队重新创建的一个项目叫trino,更新到364版本。在调查了双方的官方安装
Trino权威指南(第二版)】Trino的架构、trino架构组件、 trino连接器架构的细节、trino的查询执行模型
hiliang521的博客
12-15 3464
Trino权威指南(第二版)】Trino的架构、trino架构组件、 trino连接器架构的细节、trino的查询执行模型
Trino好文推荐
迷路剑客个人博客
03-15 294
Trino好文推荐 好文 介绍开源的Trino Project Tardigrade:Trino(Presto)到底想干什么? PrestoSQL 项目更名为 Trino,彻底和 PrestoDB 分家 Trino 在哔哩哔哩湖仓一体化平台中的实践 Presto/Trino:一切皆SQL Kyuubi Server 支持 Trino-JDBC 实现剖析 为什么我们喜欢 Trino Presto 与 Trino 的关系 【异同】Trino和PrestoDB Trino 在袋鼠云数栈的探索与实践 多源数据即席
Trino查询优化实战:提升数据分析效率
内容涵盖Trino的架构、组件、查询生命周期、资源分配、文件格式、表布局、统计数据、Join操作优化、数据缓存和JVM配置等关键领域。通过阅读,读者将深入了解如何利用这些知识和技巧提升Trino在大数据分析中的表现,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值