Плагин Ranger Knox
Включение плагина Knox
Чтобы включить плагин Ranger для Knox, выполните следующие действия.
-
Перейдите на страницу Clusters → <кластер_ADPS> → Services.
-
Кликните на иконку в строке Knox и выберите действие Manage Ranger plugin в выпадающем меню.
Сервисы кластера -
Выберите требуемое состояние флага Plugin enabled (
true
— включенный плагин,false
— выключенный). Также здесь можно установить название сервиса Ranger, который будет добавлен. Если сервис с таким именем уже существует, его можно пересоздать, активировав параметр Override service policies (true
— параметр активен,false
— неактивен) — в таком случае старый сервис будет удален, а для нового сервиса будут заново сгенерированы политики.Состояние плагинаПРИМЕЧАНИЕПри первом включении плагина сервис с политиками будет создан (если еще не существует) вне зависимости от значения параметра Override service policies. -
Кликните Run и подтвердите действие в открывшемся окне.
Добавление новой политики в Ranger
Чтобы добавить новую политику к существующему сервису Knox, необходимо выполнить следующие действия:
-
На странице Service Manager нажмите на существующий сервис в панели Knox.
Страница Service ManagerСтраница Service Manager -
На странице политик Knox нажмите Add New Policy.
Добавление новой политикиДобавление новой политики -
На открывшейся странице Create Policy заполните необходимые поля.
Параметры политики KnoxПараметры политики KnoxПараметры политики Параметр Описание Policy Name
Название политики. Должно быть уникальным в системе
Enabled
Флаг, позволяющий применить политику сразу после создания
Normal/Override
Позволяет применить override-политику. Если выбран режим override, то права доступа новой политики переписывают права доступа существующих политик
Policy Label
Позволяет группировать несколько политик с метками, что дает возможность искать политики по меткам. Поиском можно воспользоваться на страницах Tag Based Policies, Resource Based Policies и Reports. Также упрощает экспорт/импорт политик — если требуется экспортировать некоторые политики, то можно провести поиск по меткам и экспортировать результат
Knox Topology
Имя файла с топологией Knox
Knox Service
Название сервиса Knox
Description
Описание назначения политики
Audit Logging
Включает аудит для политики
Add Validity Period
Позволяет указать время начала и окончания действия политики
-
Установите параметры разрешений/запретов. Секция Allow Conditions позволяет разрешать доступ определенным ролям/группам/пользователям. Имеет смысл использовать эту секцию, когда требуется разрешить доступ небольшому числу пользователей, а остальным — запретить. Секция Deny Conditions позволяет запрещать доступ определенным ролям/группам/пользователями. Её удобно использовать, когда требуется запретить доступ небольшому числу пользователей, а остальным — разрешить. Также можно комбинировать правила из обеих секций. Для добавления дополнительных условий кликните . Условия интерпретируются в порядке, указанном в политике. Сначала применяется условие, находящееся в начале списка, затем второе, затем третье и так далее.
Параметры доступа к политике KnoxПараметры доступа к политике KnoxПараметры Allow ConditionsПараметр Описание Select Role
Укажите роли, к которым применяется данная политика
Select Group
Укажите группы, к которым применяется эта политика. Публичная группа содержит всех пользователей, поэтому предоставление доступа к публичной группе дает доступ всем пользователям
Select User
Укажите пользователей, к которым применяется данная политика
Permissions
Добавьте или измените разрешения
Delegate Admin
Используйте эту опцию, чтобы назначить привилегии администратора пользователям или группам, указанным в политике. Администраторы могут редактировать или удалять политику, а также создавать дочерние политики
Параметры Deny ConditionsПараметр Описание Select Role
Укажите роли, к которым не будет применяться данная политика
Select Group
Укажите группы, к которым не будет применяться эта политика. Публичная группа содержит всех пользователей, поэтому запрет доступа к публичной группе запрещает доступ всем пользователям
Select User
Укажите пользователей, к которым не будет применяться данная политика
Permissions
Добавьте или измените разрешения
Delegate Admin
Используйте эту опцию, чтобы назначить привилегии администратора пользователям или группам, указанным в политике. Администраторы могут редактировать или удалять политику, а также создавать дочерние политики
-
Кликните Add внизу страницы.