概述 #

Apache Ranger 是一款 Hadoop 生态系统的数据安全管理框架，它提供了一个统一的数据授权和管理界面，可以对 HDFS、Yarn、Hive 等组件进行细粒度的权限访问控制。
Ranger 鉴权体系分为三大部分
暂时无法在飞书文档外展示此内容

1. Ranger 用户管理：由管理中心-用户管理导入 OpenLDAP 再通过 UserSync 每分钟定时同步到 Ranger Admin。
2. Ranger 鉴权框架：由两大部分组成, Ranger Admin 用于管理 Policy 及监控各个组件的 plugin, Ranger Plugin 集成到各个组件里面并定时从 Ranger Admin 拉取 policy 用于服务鉴权。
3. Ranger 外部存储：Ranger Admin 创建的 policy 都保持到 Database 里面，另外各个服务插件产生的 audit log 会写入到 Solr/HDFS/ES ，我们可以在 Ranger Admin 的 audit 页面上查看。

基础使用 #

进入 UI 登录界面 #

用户可以通过管控平台上的 访问链接 功能进入 Ranger Admin UI 的登录界面。使用流程如下：

• 运维管理 -> 集群管理 -> 访问链接 -> 单击 Ranger UI 的访问链接 -> 进入 Ranger UI 界面。

登录 Ranger Admin #

登录访问流程如下：

1. 使用管理员账号登录。账号：admin，密码：lasAdmin@1234
2. 登录成功后，进入 Ranger Admin 的管理界面。在 Ranger 管理首页可查看当前 Ranger 已集成的各服务权限管理插件，用户可通过对应插件设置更细粒度的权限，具体主要操作页面功能描述参见表1。

表1 Ranger Admin 管理界面操作入口功能描述：

HDFS权限配置 #

1. 进入 Ranger admin -> Access Manager -> HDFS -> 点击 hadoop-las，进入权限编辑界面。

2. Add New Policy, 赋予 hive 用户任意路径的读写执行权限，配置如下：

3. Policy 验证

# 切换到管理员账号
su hdfs 
hdfs dfs -mkdir /user/ranger_test
hdfs dfs -chmod 000 /user/ranger_test
# 切换账号到 hive,因为已经配置了 hive 任意目录到权限，所以可以访问 /user/ranger_test
su hive
hdfs dfs -ls /user/ranger_test

表2 HDFS策略参数说明：

HIVE权限配置 #

1. 进入 Ranger admin -> Access Manager -> HADOOP SQL-> 点击 hive-las，进入权限编辑界面。

2. Add New Policy，赋予 ranger 用户访问 table: test001 的 select 权限，配置如下：

3. Policy 验证

如上图所示：没有在 ranger 上配置相关权限，会出现 permission denied，配置完后可以正常查询
表3 Hive策略参数说明：

社区文档 #

Apache Ranger官网