hive权限控制

最新推荐文章于 2022-05-12 16:18:43 发布
原创 最新推荐文章于 2022-05-12 16:18:43 发布 · 6.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hive 权限控制

本文介绍了在Hive中进行权限控制的方法,包括创建角色、给用户和角色授权、删除权限,以及配置Hive的权限相关参数。通过启用权限、设置权限工厂和使用自定义的权限钩子程序来实现精细的权限管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

 建议操作方式

因为权限中涉及的用户和组都是Linux的,不可控。建议使用角色,用户可以放置在角色中同时可以为角色进行授权。具体步骤如下:

1.创建角色

create role testrole;

2.给角色授权

grant select on database default to  role  admin;

3.给角色添加用户

grant role testrole to user userA;

 

 常用命令查询...

 

1.给用户授权

基于数据库

grant select on database default to useradmin;

基于某张表:

grant select on table ppdata to user admin;

 

2.给组授权

基于数据库:

grant select on database default to  group  admin;

基于某张表

grant select on table ppdata  to  group  admin;

 

3.给角色授权

基于数据库:

grant select on database default to  role  admin;

基于某张表

grant select on table ppdata to role  admin;

 

4.创建角色

create role testrole;

 

5.给用户添加角色

grant role testrole to user userA;

 

6.给用户移除权限

基于数据库:

revoke select on database default from useruserB;

基于某张表

revoke select on table ppdata from useruserB;

 

权限说明

名称

描述

ALL

赋予所有的权限

ALTER

有修改表结构的权限

CREATE

有创建表的权限

DROP

有删除表或表中的分区的权限

LOCK

开启并发后,锁定和解锁定表的权限

SELECT

查询表或者分区中数据的权限

SHOW_DATABASE

查看所有数据库的权限

UPDATE

向表或者分区中插入或加载数据的权限

 

 

 

权限配置过程

 

权限配置

1.在hive-site.xml中进行配置:

<property> 
<name>hive.security.authorization.enabled</name> 
<value>true</value> 
 <description>enable or disable thehive client authorization</description> 
 </property> 

功能:开启权限。


<property> 
 <name>hive.security.authorization.createtable.owner.grants</name> 
 <value>ALL</value> 
 <description>the privileges automaticallygranted to the owner whenever a table gets created. An example like"select,drop" will grant select and drop privilege to the owner ofthe table</description>
</property>

功能:表的创建者对表拥有所有权限。

 

<property>

<name>hive.security.authorization.task.factory</name>

<value>org.apache.hadoop.hive.ql.parse.authorization.HiveAuthorizationTaskFactoryImpl</value>

</property>

进行权限控制的配置。

 

此处错误总结:

报错:The current builtin authorization in Hive isincomplete and disabled.

类结构:


错误分析:

1.根据报错“The current builtin authorization in Hive is incomplete anddisabled.”,找到org.apache.hadoop.hive.ql.parse.authorization. RestrictedHiveAuthorizationTaskFactoryImpl

2.发现在做权限处理时候,这个类针对任何操作(指对hive中的sql语句做权限处理)都报错。

3.排查到org.apache.hadoop.hive.ql.parse.authorization. HiveAuthorizationTaskFactoryFactory类中进行参数配置getClass(HiveConf.ConfVars.HIVE_AUTHORIZATION_TASK_FACTORY.varname,

           HiveAuthorizationTaskFactoryImpl.class,

           HiveAuthorizationTaskFactory.class);

 

4.查看HIVE_AUTHORIZATION_TASK_FACTORY的配置:HIVE_AUTHORIZATION_TASK_FACTORY("hive.security.authorization.task.factory",

       "org.apache.hadoop.hive.ql.parse.authorization.RestrictedHiveAuthorizationTaskFactoryImpl"),

默认的就是那个全部进行报错处理的类。

5.根据RestrictedHiveAuthorizationTaskFactoryImpl实现HiveAuthorizationTaskFactory类,找到一样实现此类的抽象类:AbstractHiveAuthorizationTaskFactory,最后找到继承此抽象类的HiveAuthorizationTaskFactoryImpl,进行配置即可。

 

 

 

使用钩子程序,识别超级管理员,进行授权控制。

<property>

<name>hive.semantic.analyzer.hook</name>

<value>com.myHook.MyAuthHook</value>

</property>

 

涉及的Java代码:

package com.myHook;

 

 

import org.apache.hadoop.hive.ql.parse.ASTNode;

import org.apache.hadoop.hive.ql.parse.AbstractSemanticAnalyzerHook;

import org.apache.hadoop.hive.ql.parse.HiveParser;

import org.apache.hadoop.hive.ql.parse.HiveSemanticAnalyzerHookContext;

import org.apache.hadoop.hive.ql.parse.SemanticException;

import org.apache.hadoop.hive.ql.session.SessionState;

 

public classMyAuthHook extendsAbstractSemanticAnalyzerHook {

   private static String admin = "admin";

 

   @Override

   public ASTNodepreAnalyze(HiveSemanticAnalyzerHookContext context,

         ASTNodeast)throwsSemanticException {

      switch (ast.getToken().getType()) {

      case HiveParser.TOK_CREATEDATABASE:

      case HiveParser.TOK_DROPDATABASE:

      case HiveParser.TOK_CREATEROLE:

      case HiveParser.TOK_DROPROLE:

      case HiveParser.TOK_GRANT:

      case HiveParser.TOK_REVOKE:

      case HiveParser.TOK_REVOKE_ROLE:

      case HiveParser.TOK_GRANT_ROLE:

      case HiveParser.TOK_IMPORT:

      case HiveParser.TOK_SHOW_ROLES:

         StringuserName= null;

         if (SessionState.get()!= null

                &&SessionState.get().getAuthenticator()!= null){

            userName = SessionState.get().getAuthenticator().getUserName();

           

         }

         if (!admin.equalsIgnoreCase(userName)) {

            throw new SemanticException(userName

                   +" can't use ADMIN options, except" + admin + ".");

         }

         break;

      default:

         break;

      }

 

      return ast;

   }

}

之后把此类达成jar包,放到hive的lib目录下。

 

此处错误总结:

错误:此类没有起作用。

 

1.如何验证是否调用了此类?

方法:故意写错类名称,当在hive中写sql语句的时候,会报找不到类,说明这个类可以被调到。

 

错误原因:hive 0.13.1和0.12.0版本中ast.getToken().getType()的数值和HiveParser中对应的值不对应所致。

 

解决方法:在Java代码中添加System.out.print(ast.getToken().getType());这样在hive中执行sql语句的时候,会打印出具体的类型的数值。根据数值在HiveParser类中找到对应的属性名称(例如:public static final int TOK_TABCOLVALUE = 793;),添加到钩子程序中。

 

 

 

 

 

 

 

 

wangyijie0219
关注
【精华】Linux用户Hive权限控制实践
医疗影像检索
05-11 3695
1、困惑:    hadoop和hive通过客户机接入到集群生产,客户机是linux系统,那么linux用户和hive角色之间是什么关系呢?    或者说,怎么控制linux系统用户可以细粒度访问hive的数据库和表。 2、新建linux用户和用户组    1)#groupadd hphs;    2)#useradd -d /home/hphs/ -m hphs -g hphs
Hive中没有超级管理员,如何进行权限控制
最新发布
二进制专栏
01-16 671
修改,hive-site.xml,将编写好的类路径配置到xml中,并且指定超级用户为hadoop。Hive中没有超级管理员,任何用户都可以进行Grant/Revoke操作。重启metastore,然后重新尝试,看普通用户是否可以创建一个表。创建一个项目,导入mavan jar包,然后开始编写hook类。接着,将其打包,放入hive 的lib 文件夹下。开发实现自己的权限控制类,确保某个用户为超级用户。比如任何用户都可以grant 权限给别的用户。测试发现,hadoop用户可以进行授权操作。
Hive权限设置说明
07-17
CDH平台,通过hue访问hive,控制库级别,表级别,及列级别的访问权限
hive开启权限后不能创建数据库问题
03-18
背景:由于Hive需要开启权限管理,安装网上教程,开启权限配置,重启集群后。 使用root用户登录,进入Hive命令行界面。 执行 create database test; 发现报错: Authorization failed:No privilege 'Create' found for outputs { }. Use SHOW GRANT to get more details
Hive 权限控制
09-05 1644
Hive 权限控制 字数1135 阅读551 评论0 喜欢0 说明 认证(authentication):验证用户所用的身份是否是对的授权(authorization):验证用户所用身份操作是否有权限 目前hive(版本0.12.0)支持简单的权限管理,默认情况下是不开启,这样所有的用户都具有相同的权限,同时也是超级管理员,也就对hive中的所有表都有查看和改动的权利,
hive插件 ranger_Apache Ranger及Hive权限控制
weixin_39726131的博客
12-31 1642
一、Ranger概述1.Ranger简介Apache Ranger提供一个集中式安全管理框架, 并解决授权和审计。它可以对Hadoop生态的组件如HDFS、Yarn、Hive、Hbase等进行细粒度的数据访问控制。通过操作Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问权限。本文章介绍Ranger与Hive集成过程,与使用方法2.Ranger包含以下组件Ranger Admin 用户...
基于Sentry和Hue实现Hive权限控制(非认证情况)
weixin_33022765的博客
03-14 1244
基于Sentry和Hue实现Hive权限控制(非认证情况) 目录基于Sentry和Hue实现Hive权限控制(非认证情况)1 写在前面2 安装Sentry服务2.1 创建数据库2.2 添加Sentry服务3 Hive/Hue服务与Sentry集成3.1 Hive配置3.2 Hue配置4 配置Hive权限5 Sentry权限验证测试6 参考文档 1 写在前面 Sentry组件由Clodera公司提供的安全授权管理工具。我们可以使用该组件实现hive的分租户权限管理。 在此之前,需要明确:CDH平台中的安全,认
CDH的Hive权限控制
weixin_43025027的博客
05-12 3907
CDH的Hive权限控制
hive表级权限控制_hive权限控制(一)
weixin_35626077的博客
12-31 1881
为了更好地使用好Hive,我将《Programming Hive》的Security章节取出来,翻译了一下。Hive还是支持相当多的权限管理功能,满足一般数据仓库的使用。Hive由一个默认的设置来配置新建文件的默认权限。Xml代码hive.files.umask.value0002Thedfs.umaskvalueforthehivecreatedfolders当hive.met...
Hive 基本语法操练(六):Hive权限控制
weixin_34077371的博客
05-24 261
Hive权限控制 Hive从0.10可以通过元数据控制权限。但是Hive权限控制并不是完全安全的。基本的授权方案的目的是防止用户不小心做了不合适的事情。 为了使用Hive的授权机制,有两个参数必须在hive-site.xml中设置: < property> < name>hive.security.authorization.enabled&...
Hive--如何控制权限
qq_46893497的博客
03-07 1526
Hive如何控制权限前言准备创建角色删除角色授权撤销具体功能权限举个栗子:创建和删除角色角色的授权和撤销为角色分配具体的功能权限 前言 Hive从0.10版本(包含0.10版本)以后可以通过元数据来控制权限,Hive-0.10之前的版本对权限的控制主要是通过Linux的用户和用户组来控制,不能对Hive表的CREATE、SELECT、DROP等操作进行控制,当然Hive基于元数据来控制权限也不是安全的,目的就是为了防止用户不小心做了不该做的操作。 项目中根据不同的项目组,不同的业务线,来划分不同的角色权限
hive权限管理之实践
没事看看书
10-30 8147
一、实践心得 领导说公司集群的hive要进行权限管理,然后身为底层码农的我就开始找资料进行配置实践,关于这方面的资料也不少, 主要参考这个连接,里面说得也挺详细的。http://www.aboutyun.com/thread-12549-1-1.html 总结如下: 1、若赋予用户某个表的权限,查用户在该表所属数据库的权限,是查询不出来的,要指定到那张表 2、若要赋予用户db1数据库
关于 Hive 报 SemanticException 错误的问题
一只特立独行的猪
11-25 2万+
问题描述: hive 创建表时出错 hive> create table student(sid int,sname string); FAILED: SemanticException org.apache.hadoop.hive.ql.metadata.HiveException: java.lang.RuntimeException: Unable to instantiate org...
hive权限管理
热门推荐
zqqnancy的专栏
07-08 3万+
环境: HDP2.4 ,hive-1.2.0, ambari统一管理 目前hive支持简单的权限管理,默认情况下是不开启,这样所有的用户都具有相同的权限,同时也是超级管理员,也就对hive中的所有表都有查看和改动的权利,这样是不符合一般数据仓库的安全原则的。下面来介绍HIVE的权限管理。 Hive用户 1. Hive作为表存储层。     使用对象:Hive's HCatalog
不同Hive版本配置认证授权
dymkkj的专栏
05-27 801
前言 对于不同hive版本,相关的配置不同,如hive jdbc,0.11之前的Driver是 “"org.apache.hadoop.hive.jdbc.HiveDriver”,0.11之后是 “org.apache.hive.jdbc.HiveDriver”,诸如此类,同样,认证授权也不同 配置 hive 0.11.0 空,已隐式地包含这个列表 hive 0.13.0 hive.security.authorization.manager hive.security.authenticator.m
CDH 给root 用户赋值 超级权限 和 hive 赋值操作 详细
weixin_40809627的博客
12-03 4188
hive中查看用户权限 ‘由上可知hive 用户权限分配 一般可以通过两方面 1、直接对不同的用户赋权。 2、通过对hive中的角色赋权(一般可以通过hue) 待补充 ...
Hive权限控制和超级管理员的实现
weixin_33774308的博客
06-20 877
Hive权限控制 Hive权限机制: Hive从0.10可以通过元数据控制权限。但是Hive权限控制并不是完全安全的。基本的授权方案的目的是防止用户不小心做了不合适的事情。  先决条件: 为了使用Hive的授权机制,有两个参数必须在hive-site.xml中设置: &lt;property&gt; &lt;name&gt;hive.security.authoriza...
cloudera manager下的hive权限配置
09-05 1761
公司运营、BI以及财务不同部门不同人员需要hive数据查询服务,所以需要分配不同的权限给相关人员 权限配置主要涉及两项: - 认证(authentication):验证用户所用的身份是否是对的 - 授权(authorization):验证用户所用身份操作是否有权限 cloudera集成的hive认证支持常用的LDAP和kerberos,授权使用的是他自家的sentry,sentry目前还处
Hive如何权限控制
12-09
Hive作为一个数据仓库工具,权限控制是确保数据安全和合规性的重要手段。Hive提供了多种权限控制机制,主要包括以下几种: 1. **基于文件系统的权限控制**: - Hive默认使用Hadoop的文件系统权限控制机制,通过HDFS的权限来控制用户对数据的访问。用户需要有相应的HDFS目录和文件的读写权限。 2. **基于SQL的权限控制**: - Hive支持通过SQL语句来管理权限,包括GRANT、REVOKE等命令。用户可以通过这些命令来授予或撤销对数据库、表、视图等的访问权限。 3. **基于角色的权限控制**: - Hive支持角色的概念,可以将一组权限分配给一个角色,然后将角色分配给用户。这种方式简化了权限管理,特别是当用户数量较多时。 4. **基于Apache Ranger的权限控制**: - 对于需要更细粒度权限控制的企业环境,可以使用Apache Ranger。Ranger提供了细粒度的访问控制策略,可以基于用户、组、角色等进行权限管理,并且支持审计和监控功能。 5. **基于Apache Sentry的权限控制**: - Apache Sentry是另一个用于Hive的权限管理工具,提供了类似Ranger的功能。Sentry可以与Hive集成,提供基于角色的访问控制。 ### 示例: 假设我们有一个名为`employees`的表,我们希望只允许用户`alice`读取数据,而用户`bob`可以读取和写入数据。我们可以使用以下SQL命令来实现: ```sql -- 创建一个角色 CREATE ROLE data_reader; CREATE ROLE data_writer; -- 授予角色对表的权限 GRANT SELECT ON TABLE employees TO ROLE data_reader; GRANT INSERT, SELECT ON TABLE employees TO ROLE data_writer; -- 将角色分配给用户 GRANT ROLE data_reader TO USER alice; GRANT ROLE data_writer TO USER bob; ``` ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值