Плагин Ranger Trino

Сергей Тихомиров

Содержание

Включение плагина Trino
Добавление новой политики в Ranger

Включение плагина Trino

Чтобы включить плагин Ranger для Trino, выполните следующие действия.

Перейдите на страницу Clusters → <кластер_ADH> → Services.
Кликните на иконку в строке Trino и выберите действие Manage Ranger plugin в выпадающем меню.

Сервисы кластера

Выберите требуемое состояние флага Plugin enabled (true — включенный плагин, false — выключенный). Также здесь можно установить название сервиса Ranger, который будет добавлен. Если сервис с таким именем уже существует, его можно пересоздать, активировав параметр Override service policies (true — параметр активен, false — неактивен) — в таком случае старый сервис будет удален, а для нового сервиса будут заново сгенерированы политики.

Состояние плагина

ПРИМЕЧАНИЕ

При первом включении плагина сервис с политиками будет создан (если еще не существует) вне зависимости от значения параметра Override service policies.

Кликните Run и подтвердите действие в открывшемся окне.

Подтверждение действия

Необходимые политики

Пользователи должны иметь права на выполнение запросов в Trino. Без политики в Apache Ranger, предоставляющей эти права, пользователи не смогут выполнять какие-либо запросы. Чтобы разрешить это, создайте политику в Apache Ranger для ресурса queryId со значением * и разрешением execute для пользователя {USER}.
Пользователи должны иметь разрешение на имперсонацию самих себя в Trino. Без политики в Apache Ranger, предоставляющей это разрешение, пользователи не смогут выполнять какие-либо запросы. Чтобы разрешить это, создайте политику в Apache Ranger для ресурса trinouser со значением {USER} и с разрешением impersonate для пользователя {USER}.

Добавление новой политики в Ranger

ВАЖНО

Из-за различий в компонентах, составляющих политики, плагин Trino не может быть интегрирован в общую политику Hadoop SQL как Hive/Impala/SparkSQL.

Чтобы добавить новую политику к существующему сервису Trino, необходимо выполнить следующие действия:

На странице Service Manager нажмите на существующий сервис Trino в панели Trino.

Страница Service Manager

Страница Service Manager
На странице политик Trino нажмите Add New Policy.

Добавление новой политики

Добавление новой политики

На открывшейся странице Create Policy заполните необходимые поля.

Параметры политики Trino

Параметры политики
Параметр	Описание
Policy Name	Название политики. Должно быть уникальным в системе
Enabled	Флаг, позволяющий применить политику сразу после создания
Normal/Override	Позволяет применить override-политику. Если выбран режим *override*, то права доступа новой политики переписывают права доступа существующих политик
Policy Label	Позволяет группировать несколько политик с метками, что дает возможность искать политики по меткам. Поиском можно воспользоваться на страницах *Policy listing* и *Reports*. Также упрощает экспорт/импорт политик — если требуется экспортировать некоторые политики, то можно провести поиск по меткам и экспортировать результат
Description	Описание назначения политик
Audit Logging	Включает аудит для политики
Add Validity Period	Позволяет указать время начала и окончания действия политики
Trino Catalog	Название каталога в Trino
Trino Schema	Название схемы в Trino
Trino Table	Название таблицы в Trino
Trino Column	Название колонки в Trino
Trino User	Имя пользователя Trino
System Property	Название свойства системы
Trino Function	Название функции в Trino
Query ID	Идентификатор запроса
System Information	Информация о среде кластера Trino
Role	Название роли в Trino

Установите параметры разрешений/запретов. Секция Allow Conditions позволяет разрешать доступ определенным ролям/группам/пользователям. Имеет смысл использовать эту секцию, когда требуется разрешить доступ небольшому числу пользователей, а остальным — запретить. Секция Deny Conditions позволяет запрещать доступ определенным ролям/группам/пользователями. Её удобно использовать, когда требуется запретить доступ небольшому числу пользователей, а остальным — разрешить. Также можно комбинировать правила из обеих секций. Для добавления дополнительных условий кликните ranger grey plus . Условия интерпретируются в порядке, указанном в политике. Сначала применяется условие, находящееся в начале списка, затем второе, затем третье и так далее.

Параметры доступа к политике Trino

Параметры Allow Conditions

Параметр

Описание

Select Role

Укажите роли, к которым применяется данная политика

Select Group

Укажите группы, к которым применяется эта политика. Публичная группа содержит всех пользователей, поэтому предоставление доступа к публичной группе дает доступ всем пользователям

Select User

Укажите пользователей, к которым применяется данная политика

Permissions

Добавьте или измените разрешения

Delegate Admin

Используйте эту опцию, чтобы назначить привилегии администратора пользователям или группам, указанным в политике. Администраторы могут редактировать или удалять политику, а также создавать дочерние политики

Параметры Deny Conditions

Параметр

Описание

Select Role

Укажите роли, к которым не будет применяться данная политика

Select Group

Укажите группы, к которым не будет применяться эта политика. Публичная группа содержит всех пользователей, поэтому запрет доступа к публичной группе запрещает доступ всем пользователям

Select User

Укажите пользователей, к которым не будет применяться данная политика

Permissions

Добавьте или измените разрешения

Delegate Admin

Кликните Add внизу страницы.

Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней