概述
Apache Ranger 是一款 Hadoop 生态系统的数据安全管理框架,它提供了一个统一的数据授权和管理界面,可以对 HDFS、Yarn、Hive 等组件进行细粒度的权限访问控制。
Ranger 鉴权体系分为三大部分
暂时无法在飞书文档外展示此内容
- Ranger 用户管理:由管理中心-用户管理导入 OpenLDAP 再通过 UserSync 每分钟定时同步到 Ranger Admin。
- Ranger 鉴权框架:由两大部分组成, Ranger Admin 用于管理 Policy 及监控各个组件的 plugin, Ranger Plugin 集成到各个组件里面并定时从 Ranger Admin 拉取 policy 用于服务鉴权。
- Ranger 外部存储:Ranger Admin 创建的 policy 都保持到 Database 里面,另外各个服务插件产生的 audit log 会写入到 Solr/HDFS/ES ,我们可以在 Ranger Admin 的 audit 页面上查看。
基础使用
进入 UI 登录界面
用户可以通过管控平台上的 访问链接 功能进入 Ranger Admin UI 的登录界面。使用流程如下:
- 运维管理 -> 集群管理 -> 访问链接 -> 单击 Ranger UI 的访问链接 -> 进入 Ranger UI 界面。
登录 Ranger Admin
登录访问流程如下:
- 使用管理员账号登录。账号:admin,密码:lasAdmin@1234
- 登录成功后,进入 Ranger Admin 的管理界面。在 Ranger 管理首页可查看当前 Ranger 已集成的各服务权限管理插件,用户可通过对应插件设置更细粒度的权限,具体主要操作页面功能描述参见表1。
表1 Ranger Admin 管理界面操作入口功能描述:
入口 | 功能描述 |
|---|---|
Access Manager | 查看当前 Ranger 已集成的各服务权限管理插件,用户可通过对应插件设置更细粒度的权限。 |
Audit | 查看 Ranger 运行及权限管控相关审计日志信息。 |
Security Zone | 配置安全区域,管理员可将各组件的资源切分为多个区域,由不同管理员为服务的指定资源设置安全策略,以便更好的管理。 |
Settings | 查看 Ranger 相关权限设置信息,例如查看用户、用户组、Role 等。 |
HDFS权限配置
- 进入 Ranger admin -> Access Manager -> HDFS -> 点击 hadoop-las,进入权限编辑界面。
- Add New Policy, 赋予 hive 用户任意路径的读写执行权限,配置如下:
- Policy 验证
# 切换到管理员账号 su hdfs hdfs dfs -mkdir /user/ranger_test hdfs dfs -chmod 000 /user/ranger_test # 切换账号到 hive,因为已经配置了 hive 任意目录到权限,所以可以访问 /user/ranger_test su hive hdfs dfs -ls /user/ranger_test
表2 HDFS策略参数说明:
参数 | 语义 |
|---|---|
PolicyName | 策略名称,可以自定义 |
Resource Path | 资源路径 |
recursive | 子目录或文件是否集成权限 |
Select Group | 指定添加此策略的用户组 |
Select User | 指定添加此策略的用户 |
Permissions | 选择授予的权限 |
HIVE权限配置
- 进入 Ranger admin -> Access Manager -> HADOOP SQL-> 点击 hive-las,进入权限编辑界面。
- Add New Policy,赋予 ranger 用户访问 table: test001 的 select 权限,配置如下:
- Policy 验证
如上图所示:没有在 ranger 上配置相关权限,会出现 permission denied,配置完后可以正常查询
表3 Hive策略参数说明:
参数 | 语义 |
|---|---|
Policy Name | 策略名称,可以自定义。 |
database | 添加 Hive 中的数据库,例如 testdb。 |
table | 添加表,例如test。 |
Hive Column | 添加列名。填写星号(*)时表示所有列。 |
Select Group | 指定添加此策略的用户组。 |
Select User | 指定添加此策略的用户。 |
Permissions | 选择授予的权限 |