HBase的ACL说明

最新推荐文章于 2025-11-25 04:06:42 发布
原创 最新推荐文章于 2025-11-25 04:06:42 发布 · 1.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

HBase版本:1.1.2

前言

该文只是对Kerberos应用部分中HBase使用的一个补充,主要介绍了HBase ACL的使用。

一、HBase ACL

HBase ACL的全称为HBase Access Control List,它可以实现对各UserGroupNamespaceTableColumn FamilyColumn Qualifier层级的数据权限控制。

我们可以使用grant命令对上述层级进行授权。

二、启用HBase自身权限控制

HBase在不开启授权的情况下,任何账号对HBase集群可以进行任何操作,比如disable tabledrop table等等。

HBase的安全模块包括两个部分,一个是Enable Authentication,一个是Enabled Authorization。前者是在开启Kerberize集群(Kerberos)的时候会用到(感兴趣的可以点击前往查看);后者在开启HBase自身权限控制的时候会用到。今天主要说一下后者的使用,如图所示:

Ambari HBase配置

将值修改为Native,我们注意到hbase-site会有三个配置提示被修改,点击确定并重启HBase服务:

hbase-site.xml文件会被修改:

<property>
    <name>hbase.security.authorization</name>
    <value>true</value>
</property>
<property>
    <name>hbase.coprocessor.master.classes</name>
    <value>org.apache.hadoop.hbase.security.access.AccessController</value>
</property>
<property>
    <name>hbase.coprocessor.region.classes</name>
 <value>org.apache.hadoop.hbase.security.access.AccessController,org.apache.hadoop.hbase.security.access.SecureBulkLoadEndpoint</value>
</property>
<property>
  	<name>hbase.coprocessor.regionserver.classes</name>
  	<value>org.apache.hadoop.hbase.security.access.AccessController</value>
</property>

如果没有使用Ambari统一管理服务的话,可以修改/usr/hdp/2.6.4.0-91/hbase/conf/hbase-site.xml文件,然后重启HBase服务。

按照上述操作,HBase ACL开启成功。

三、HBase ACL权限控制说明

HBase访问级别是相互独立授予的,并允许在给定范围内进行不同类型的操作。

1. 操作级别说明
操作级别说明
Read ( R )读取某个Scope资源的数据
Write ( W )在某个Scope的资源内写入数据
Execute ( X )在某个Scope执行协处理器
Create ( C )在某个Scope创建/删除表等操作
Admin ( A )在某个Scope进行集群相关操作,例如在给定的范围内平衡集群或分配区域。该权限可对命名空间进行操作
2. 某个范围(Scope)的说明
范围说明
Superuser超级账号可以进行任何操作,运行HBase服务的账号默认是hbase。也可以通过在hbase-site.xml中配置hbase.superuser的值可以添加超级账号
GlobalGlobal Scope拥有集群所有table的Admin权限
Namespace在Namespace Scope进行相关权限控制
Table在Table Scope进行相关权限控制
Column Family在Column Family Scope进行相关权限控制
Column Qualifier在Column Qualifier Scope进行相关权限控制
3. 实体说明
实体说明
User对某个用户授权
GROUP对某个用户组授权

四、设置权限

授权就是将对 [某个范围的资源] 的 [操作权限] 授予[某个实体]

设置hbase权限的命令格式:

grant <user> <permissions> [<@namespace> [<table> [<column family> [<column qualifier>]]]

这里我们新建一个test用户,来为test用户设置一下权限。

新建Linux用户:useradd test

[root@xxxxx ~]# useradd test
[root@xxxxx ~]# id test
uid=1026(test) gid=1026(test) groups=1026(test)

查看进入hbase shell的当前用户:

hbase(main):001:0> whoami
test (auth:SIMPLE)
    groups: test

另外新建一个shell客户端,切换到HBase的超级用户下,默认为hbase

1. 创建、查看、删除namespace权限

使用超级用户赋予test用户创建、查看、删除namespace的权限

# Global范围的授权
grant 'test','A'

使用test用户创建、查看、删除namespace

# 创建、查看、删除namespace
list_namespace
create_namespace 'test_ns'
drop_namespace 'test_ns'

2. 查看权限(用户拥有ADMIN级别的权限才可使用该命令)
user_permission '.*'

3. 创建/删除表

使用超级用户赋予test用户在test_ns内创建/删除表的权限。

# Namespace范围的授权
# 赋予test用户在test_ns命名空间内有创建/删除表的权限
grant 'test','AC','@test_ns'  #命名空间前要加@符号

查看权限:

user_permission '@.*'

使用test用户创建/删除表:

# 创建表
create 'test_ns:hbase_1102',  {NAME=>'cf1'}, {NAME=>'cf2'}
# drop(删除)表之前,需要先disable表
disable 'test_ns:hbase_1102'
drop 'test_ns:hbase_1102'

这时候的test_ns:hbase_1102表的权限为:

4. 为test用户设置表权限

首先为了演示权限的控制,给test_ns:hbase_1102表创造一些数据:

插入数据

hbase(main):048:0> put 'test_ns:hbase_1102', '001','cf1:name','Tom'
0 row(s) in 0.0170 seconds

hbase(main):049:0> put 'test_ns:hbase_1102', '001','cf1:gender','man'
0 row(s) in 0.0170 seconds

hbase(main):050:0> put 'test_ns:hbase_1102', '001','cf2:chinese','90'
0 row(s) in 0.0120 seconds

hbase(main):051:0> put 'test_ns:hbase_1102', '001','cf2:math','91'
0 row(s) in 0.0080 seconds

读取数据

scan 'test_ns:hbase_1102'

1. 只读列族权限

使用超级用户为test用户设置test_ns:hbase_1102表的cf1的只读权限

# Column Family范围的授权
grant 'test','R','test_ns:hbase_1102','cf1'

这样我们的效果预期是使用scan 'test_ns:hbase_1102’的时候,仅显示列族cf1的相关信息,但是是这样的吗?请继续往下看:

# 查看test_ns:hbase_1102的权限
user_permission 'test_ns:hbase_1102'

很明显,test_ns:hbase_1102表有两条关于test用户的权限说明,它的权限层级不同的时候是不会被影响的。假如我们要设置为只读cf1这个列族信息的话,需要将第一条相关test的权限进行回收:

# revoke命令格式
revoke <user> [<@namespace> [<table> [<column family> [<column qualifier>]]]]

使用HBase超级用户执行:

# revoke回收权限
revoke 'test','test_ns:hbase_1102'
# 再次查看表权限
user_permission 'test_ns:hbase_1102'

这样的话,就做到了控制test用户只读列族cf1的信息了,使用test用户执行:

scan 'test_ns:hbase_1102'

2. 只读列族中某列权限

使用HBase超级用户执行:

revoke 'test','test_ns:hbase_1102','cf1'
# Column Qualifier范围的授权
grant 'test','R','test_ns:hbase_1102','cf1','name'

使用test用户执行:

scan 'test_ns:hbase_1102'

符合预期设想。

五、总结

HBase ACL的开启还是很有必要的,它能细粒化地控制用户对HBase数据的操作。根据HBase ACL的实战演练,需要注意HBase ACL的范围(Scope)权限是互不干扰的,如果需要达到预期的权限,建议多使用user_permission命令查看权限。如果权限没有达到预期,建议再revoke一下。

本文主要讲解了HBase ACL的说明使用:

  • ACL权限控制说明
  • 使用grant命令
  • 使用revoke命令
  • 如何查看某表的权限

HBase ACL相对来说比较简单,但也呼吁大家动手实践一下~

如果您觉得文章写得不错,请扫码关注公众号支持作者~您的关注是我写作的最大动力?

关注大数据实战演练

HBase权限控制:Kerberos集成与安全配置
大数据洞察的博客
05-20 831
本文旨在为大数据工程师和安全管理员提供全面的HBase安全配置指南,重点涵盖Kerberos认证集成和细粒度权限控制。内容范围包括理论原理、配置步骤、实战案例和最佳实践。本文首先介绍HBase安全基础概念,然后深入Kerberos集成细节,接着展示实际配置步骤和代码示例,最后讨论高级安全特性和生产环境最佳实践。Kerberos: 一种网络认证协议,通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证: 访问控制列表,定义用户对资源的访问权限Principal。
Hbase配置说明
热门推荐
Vicky_Tang
07-01 2万+
hbase.rootdir 这个目录是region server的共享目录,用来持久化HBase。URL需要是’完全正确’的,还要包含文件系统的scheme。例如,要表示hdfs中的’/hbase’目录,namenode 运行在namenode.example.org的9090端口。则需要设置为hdfs://namenode.example.org:9000/hbase。默认情况下HBase是写到/tmp的。不改这个配置,数据会在重启的时候丢失。 默认: file:///tmp/hbase-${user.n
HBase ACL机制
鲸鱼写程序的专栏
03-26 444
Master 空集群怎么初始化表和znode的 空集群:hbase-site配置中Master要加载ACL协处理器;空集群初始化表,在AccessController的postStartMaster中初始化的; 启动怎么加载权限数据的(从zk加载还是从表加载) 从zk加载数据 RegionServer zk中的数据怎么...
实战配置Hbase_ACL 权限
云上的听者
05-24 1964
1Hbase自身权限控制 HBase的权限管理包括两个部分,分别是Authentication&Authorization Authentication:针对某访问ip或者主机 是否有权成为集群的regionserver或者client端; 其中Authentication由kerberos提供解决方案(机器级别的安全认证),用户级别的Authorization由ACL模块控制;k...
hbase Acl授权
shy_snow的专栏
12-09 1330
#切换hbase的admin用户的票据后 hbase shell #给hdfs赋权 权限有5个 RWXCA grant 'hdfs', 'RWXCA' #收回授权 revoke 'hdfs'
hbase权限管理(访问控制标签ACL)
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
01-03 6131
默认情况下,访问hbase是不需要用户密码等认证方式的。 开启认证 HBase的权限管理依赖协协处理器。所以我们需要配置hbase.security.authorization=true,以及hbase.coprocessor.master.classes和hbase.coprocessor.master.classes使其包含org.apache.hadoop.hbase.security. a...
hbase命令_HBaseACL说明
weixin_39907526的博客
12-01 275
HBase版本:1.1.2前言该文只是对Kerberos应用部分中HBase使用的一个补充,主要介绍了HBase ACL的使用。一、HBase ACLHBase ACL的全称为HBase Access Control List,它可以实现对各User、Group、Namespace、Table、Column Family、Column Qualifier层级的数据权限控制。我们可以使用grant命...
ACL in HBase
03-22
好的,我现在需要为用户详细介绍HBase中的ACL(访问控制列表)。首先,用户可能已经了解HBase的基本概念,但对权限管理部分不太熟悉。他们可能想知道ACL的具体功能、如何配置以及最佳实践。 首先,我需要回忆HBase...
HBase 中的ACL操作
03-28
嗯,用户想了解HBase中的ACL操作。首先,我需要回忆一下HBase的访问控制机制。HBaseACL是基于CoProcessor实现的,主要通过授予用户或组特定的权限来管理。记得权限包括读、写、创建、执行和管理等。 用户可能需要...
大数据技术----HBase配置文件说明
weixin_45228198的博客
07-24 2746
以下是hbase-site.xml文件的相关配置项: 1 ,hbase.rootdir 这个目录是 region server 的共享目录,用来持久化 HBase。URL 需要是’完全正确’的,还要包含文件系统的 scheme。例如,要表示 hdfs 中的 ‘/hbase’ 目录,namenode 运行在namenode.example.org 的 9090 端口。则需要设置 为hdfs://namenode.example.org:9000/hbase。默认情况下HBase是写到/tmp的。不改这个配置,
Hbase权限设置
07-14
文件主要介绍如何在CDH集群安装模式下如何实现Hbase的权限控制,及Hbase常用的权限控制命令
How-to: enable hbase ACL and verify
lulynn的博客
07-15 1934
Add following configuration in hbase-site.xml: hbase.security.authorization true hbase.coprocessor.master.classes org.apache.hadoop.hbase.security.access.AccessController hbase.copr
Access Hbase
鲲鹏宇飞(RocFly)
01-08 475
public static List<AdModel> getList (String tableName ) { //AdModel model = null; List<AdModel> list = new ArrayList<AdModel>(); try{ HTable table = new HTable(conf, tableName);
HBase 常用Shell命令
BusyMonkey
04-17 644
http://www.cnblogs.com/nexiyi/p/hbase_shell.html   两个月前使用过hbase,现在最基本的命令都淡忘了,留一个备查~ 1、查看当前用户 hbase(main)&gt;whoami 2、查看有哪些表 hbase(main)&gt; list 3、创建表 # 语法:create &lt;table&gt;, {NAME =&gt;...
hbase数据备份与恢复
weixin_44799695的博客
04-12 2059
一、环境 集群名称 服务器名称 Ip地址 角色 ns1 master1 192.168.80.182 HRegionServer,HMaster master2 192.168.80....
Hbase访问优化
yeqingyun2012的博客
01-26 260
1、Hbase配置文件 hbase.properties: quorum=****************** clientPort=************ recommendInterfaceTable=************** rowkeyPre=****************** family=************ column=************
Hbase权限访问命令、报错:Grant无权限(acl文件少了)
小方的博客
09-20 3347
hbase权限访问
HBase的数据安全与访问控制策略
AI天才研究院
01-21 1060
1.背景介绍 1. 背景介绍 HBase是一个分布式、可扩展、高性能的列式存储系统,基于Google的Bigtable设计。它是Hadoop生态系统的一部分,可以与HDFS、MapReduce、ZooKeeper等组件集成。HBase具有高可靠性、高性能和高可扩展性等优势,适用于大规模数据存储和实时数据处理。 数据安全和访问控制是HBase的核心特性之一,可以保护数据的完整性、可用性和安全性...
Apache Storm与RocketMQ集成:构建高吞吐量消息队列实时处理系统
最新发布
gitblog_00142的博客
11-25 807
Apache Storm作为业界领先的分布式实时计算系统,与RocketMQ高吞吐量消息队列的完美结合,为企业级实时数据处理提供了强大的解决方案。💪 在本文中,我们将深入探讨如何将这两个强大的开源技术集成,构建高性能的实时数据处理平台。 ## 为什么选择Storm与RocketMQ集成? **高吞吐量**是Storm与RocketMQ集成的核心优势。RocketMQ作为阿里巴巴开源的分布式消
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

create17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值