Главная
Arenadata Hadoop
Руководства
Безопасность
ADPS
Плагины Ranger
Плагин Hive

Плагин Ranger Hive

Сергей Тихомиров

Содержание

Включение плагина Hive
Добавление новой политики в Ranger

Включение плагина Hive

Чтобы включить плагин Ranger для Hive, выполните следующие действия.

Перейдите на страницу Clusters → <кластер_ADH> → Services.
Кликните на иконку в строке Hive и выберите действие Manage Ranger plugin в выпадающем меню.

Сервисы кластера

Выберите требуемое состояние флага Plugin enabled (true — включенный плагин, false — выключенный). Также здесь можно установить название сервиса Ranger, который будет добавлен. Если сервис с таким именем уже существует, его можно пересоздать, активировав параметр Override service policies (true — параметр активен, false — неактивен) — в таком случае старый сервис будет удален, а для нового сервиса будут заново сгенерированы политики.

Состояние плагина

ПРИМЕЧАНИЕ

При первом включении плагина сервис с политиками будет создан (если еще не существует) вне зависимости от значения параметра Override service policies.

Кликните Run и подтвердите действие в открывшемся окне.

Подтверждение действия

Добавление новой политики в Ranger

Чтобы добавить новую политику к существующему сервису Hive, необходимо выполнить следующие действия:

На странице Service Manager нажмите на существующий сервис Hive в панели Hadoop SQL.

Страница Service Manager

Страница Service Manager
На странице политик Hive нажмите Add New Policy.

Добавление новой политики

Добавление новой политики

На открывшейся странице Create Policy заполните необходимые поля.

Параметры политики Hive

Параметры политики
Параметр	Описание
Policy Name	Название политики. Должно быть уникальным в системе
Enabled	Флаг, позволяющий применить политику сразу после создания
Normal/Override	Позволяет применить override-политику. Если выбран режим *override*, то права доступа новой политики переписывают права доступа существующих политик
Policy Label	Позволяет группировать несколько политик с метками, что дает возможность искать политики по меткам. Поиском можно воспользоваться на страницах *Policy listing* и *Reports*. Также упрощает экспорт/импорт политик — если требуется экспортировать некоторые политики, то можно провести поиск по меткам и экспортировать результат
database/url/hiveservice/global	Если выбран параметр *database, то введите имя соответствующей базы данных. Функция автозаполнения отображает доступные базы данных на основе введенного текста. Если выбран параметр url, то введите путь к облачному хранилищу (например, s3a://dev-admin/demo/campaigns.txt), где необходимо разрешение конечного пользователя для чтения/записи данных Hive. Опция hiveservice* позволяет пользователю, имеющему права Service Admin в Ranger, запустить API остановки запроса: `kill query <queryID>`. Опция *global* используется для создания глобальных политик, которые используют шаблоны соответствия и определяют необходимый доступ по умолчанию
table/udf/none	Определяет политику на основе таблицы или UDF
column/none	Название колонки Hive. Неверная установка этого параметра приведет к сообщению об ошибке `HiveAccessControlException`
Description	Описание назначения политик
Audit Logging	Включает аудит для политики
Add Validity Period	Позволяет указать время начала и окончания действия политики

Установите параметры разрешений/запретов. Секция Allow Conditions позволяет разрешать доступ определенным ролям/группам/пользователям. Имеет смысл использовать эту секцию, когда требуется разрешить доступ небольшому числу пользователей, а остальным — запретить. Секция Deny Conditions позволяет запрещать доступ определенным ролям/группам/пользователями. Её удобно использовать, когда требуется запретить доступ небольшому числу пользователей, а остальным — разрешить. Также можно комбинировать правила из обеих секций. Для добавления дополнительных условий кликните ranger grey plus . Условия интерпретируются в порядке, указанном в политике. Сначала применяется условие, находящееся в начале списка, затем второе, затем третье и так далее.

Параметры доступа к политике Hive

Параметры Allow Conditions

Параметр

Описание

Select Role

Укажите роли, к которым применяется данная политика

Select Group

Укажите группы, к которым применяется эта политика. Публичная группа содержит всех пользователей, поэтому предоставление доступа к публичной группе дает доступ всем пользователям

Select User

Укажите пользователей, к которым применяется данная политика

Permissions

Добавьте или измените разрешения

Delegate Admin

Используйте эту опцию, чтобы назначить привилегии администратора пользователям или группам, указанным в политике. Администраторы могут редактировать или удалять политику, а также создавать дочерние политики

Параметры Deny Conditions

Параметр

Описание

Select Role

Укажите роли, к которым не будет применяться данная политика

Select Group

Укажите группы, к которым не будет применяться эта политика. Публичная группа содержит всех пользователей, поэтому запрет доступа к публичной группе запрещает доступ всем пользователям

Select User

Укажите пользователей, к которым не будет применяться данная политика

Permissions

Добавьте или измените разрешения

Delegate Admin

Кликните Add внизу страницы.

Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней