You need to enable JavaScript to run this app.
导航
湖仓一体分析服务 LAS 私有化
  • 文档首页
    • /湖仓一体分析服务 LAS 私有化/开发指南/Ranger/Ranger KMS
Ranger KMS
最近更新时间:2025.04.01 20:13:40首次发布时间:2024.11.12 16:54:08
我的收藏
有用
有用
无用
无用

概述

Ranger Key Management Service(Ranger KMS)是 Ranger 的一个子组件,是一个开源的、可扩展的加密密钥管理服务,支持 HDFS 的数据加密。Ranger KMS 基于 Apache 社区最初开发的Hadoop KMS。Hadoop KMS 默认将密钥存储在基于文件的 Java 密钥库中。Ranger 通过允许您在安全数据库中存储密钥,扩展了原生 Hadoop KMS 的功能。Ranger 管理员可以通过 Ranger admin UI 对密钥进行集中管理。
Ranger KMS 具有以下三个主要功能:

  1. 密钥管理:Ranger Admin 提供了使用Web界面或REST API创建、更新或删除密钥的能力。
  2. 访问控制策略:Ranger admin还提供了管理 Ranger KMS 访问控制策略的能力。用户可通过访问策略控制管理密钥的权限,为 Hadoop 中加密的数据添加另一层安全性。
  3. 审计:Ranger提供了Ranger KMS执行的所有操作的完整审计跟踪。

基础使用

访问Ranger管理界面

用户可以通过管控平台上的 访问链接 功能进入 Ranger Admin UI 的登录界面。使用流程如下:运维管理 -> 集群管理 -> 访问链接 -> 单击 Ranger UI 的访问链接 -> 进入 Ranger UI 界面。

使用管理员账号登录

说明

说明:

Ranger KMS和Ranger Admin的登录用户不同。登录具有 Ranger KMS KeyAdmin权限用户,可以跳转到另一个界面。默认集成用户:keyadmin,密码:lasAdmin@1234

Ranger KMS 的 UI 界面首次使用时,可以通过 rangerkms、keyadmin 用户登录。默认场景下 keyadmin 用户只有 key 管理权限无操作权限。而 rangerkms 用户既有 key 管理权限同时拥有 key 操作权限。

密钥管理

  1. 在“Key Management”页面可以查看、创建、更新或删除已创建的密钥。
  1. 查看:在 Select Services 下拉列表中选择 kms-las 服务
  2. 创建:点击右侧 Add New Key 按钮创建新的密钥:相关参数说明如下:

表1 密钥创建相关参数说明:

参数名称

描述

Key Name

密钥名称。

Cipher

加密算法,默认AES/CTR/NoPadding,不能修改。

Length

密钥长度,128或者256

Description

描述密钥的内容。

Attributes

密钥自定义属性,无需添加。

  1. 更新:点击右侧 Action 下第一个按钮
  2. 删除:点击右侧 Action 下第二个按钮

权限管理

  1. 在“Service Manger”页面可以给特定的用户或组创建或编辑对密钥的访问权限策略。

表2 密钥使用策略创建相关参数说明

参数名称

描述

Policy Type

Access

Policy Name

策略名称,必填配置。

Policy Label

策略标签,用于对策略进行分类。

Key Name

Key名称,及KMS中存储的EZK名称;该条策略就会对配置的Key生效,另外填*表示所有的key。

Description

描述策略的内容。

Audit Logging

是否开启审计。

Allow Conditions

允许策略,可以对选择的用户、用户组或者角色配置相应的权限。包括
Create:创建Key
Delete:删除key
Rollover:更新key
Set Key Material:设置密钥密文
Get:读取某个key
Get keys:读取所有key (策略中配置的key)
Get Metadata:获取key的元信息
Generate EEK:生成EEK
Decrypt EEK:解密EEK
Exclude from Allow Conditions:配置允许条件之外的例外规则。

Deny All Other Accesses

是否拒绝其它所有访问。
True:拒绝其它所有访问
False:设置为False,可配置Deny Conditions。

Deny Conditions

策略拒绝条件,配置本策略内拒绝的权限及例外,配置方法与“Allow Conditions”类似。
拒绝条件的优先级高于“Allow Conditions”中配置的允许条件。
Exclude from Deny Conditions:配置排除在拒绝条件之外的例外规则。

使用密钥

  1. 在Hadoop生态系统中的应用程序可以通过Ranger KMS API来请求密钥,用于数据的加密或解密操作。

密钥使用

Usage: hadoop key [generic options]
   [-help]
   [create <keyname> [-cipher <cipher>] [-size <size>]
                     [-description <description>]
                     [-attr <attribute=value>]
                     [-provider <provider>] [-strict]
                     [-help]]
   [roll <keyname> [-provider <provider>] [-strict] [-help]]
   [delete <keyname> [-provider <provider>] [-strict] [-f] [-help]]
   [list [-provider <provider>] [-strict] [-metadata] [-help]]
   [invalidateCache <keyname> [-provider <provider>] [-help]]

加密使用

Usage: hdfs crypto [COMMAND]
      [-createZone -keyName <keyName> -path <path>]
      [-listZones]
      [-provisionTrash -path <path>]
      [-getFileEncryptionInfo -path <path>]
      [-reencryptZone <action> -path <zone>]
      [-listReencryptionStatus]
      [-help <command-name>]