数据访问控制:Apache Ranger 集成 Hive/HBase 实现权限管控(附配置)

最新推荐文章于 2025-11-25 14:35:44 发布
原创 最新推荐文章于 2025-11-25 14:35:44 发布 · 285 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache #hive #hbase

Apache Ranger 集成 Hive/HBase 实现权限管控

一、核心原理

Apache Ranger 通过插件机制实现细粒度权限管控:

  1. 策略模型:基于 $resource \rightarrow action \rightarrow user/group$ 三元组
  2. 决策流程: $$ \text{请求} \xrightarrow{\text{Ranger插件}} \text{策略引擎} \xrightarrow{\text{决策}} \text{允许/拒绝} $$
  3. 审计日志:所有操作记录同步到 Solr/Elasticsearch
二、前置条件
# 环境要求
Hadoop 3.x+
Hive 2.3+/HBase 2.0+
Ranger 2.0+
Kerberos 已部署(生产环境必须)

三、Hive 集成配置

  1. 安装 Ranger 插件

    # 在 Hive 节点执行
cp $RANGER_HOME/hive-plugin/*.jar $HIVE_HOME/lib/

  2. 配置 hive-site.xml

    <property>
  <name>hive.security.authorization.manager</name>
  <value>org.apache.ranger.authorization.hive.authorizer.RangerHiveAuthorizerFactory</value>
</property>
<property>
  <name>hive.security.authenticator.manager</name>
  <value>org.apache.hadoop.hive.ql.security.SessionStateUserAuthenticator</value>
</property>

  3. 创建 Ranger 服务

    Service Type: Hive
Service Name: hive_ranger
JDBC URL: jdbc:hive2://hiveserver:10000/

四、HBase 集成配置

  1. 安装插件

    cp $RANGER_HOME/hbase-plugin/*.jar $HBASE_HOME/lib/

  2. 配置 hbase-site.xml

    <property>
  <name>hbase.security.authorization</name>
  <value>true</value>
</property>
<property>
  <name>hbase.coprocessor.master.classes</name>
  <value>org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor</value>
</property>

  3. 创建 Ranger 服务

    Service Type: HBase
Service Name: hbase_ranger
Zookeeper: zk1:2181,zk2:2181

五、策略配置示例

  1. Hive 表级权限

    资源: database1.table1
用户组: finance_team
权限: select

  2. HBase 列族权限

    资源: table2 | cf:personal
用户: user@domain
权限: read

六、验证与测试
-- Hive 权限测试
SHOW TABLES; -- 应仅显示授权表
SELECT * FROM restricted_table; -- 未授权时抛出异常

# HBase 权限测试
hbase> scan 'sensitive_table' -- 未授权时返回空结果

七、故障排查要点
  1. 插件日志位置:
    • Hive: /var/log/hive/ranger_hive.log
    • HBase: /var/log/hbase/ranger_hbase.log
  2. 策略生效时间:默认 30 秒刷新
  3. 权限冲突时:拒绝优先(Deny-override)

最佳实践

  1. 采用最小权限原则
  2. 定期审计权限分配
  3. 敏感操作启用双因素认证
  4. 策略变更前在测试环境验证


(示意图:用户请求 → Ranger策略引擎 → 数据服务响应)

asdasqwqw
关注
hive插件 ranger_hive 整合ranger
weixin_39819576的博客
12-22 1147
一、安装hive插件1、解压安装# tar zxvf ranger-2.0.0-SNAPSHOT-hive-plugin.tar.gz -C /data1/hadoop/2、修改install.propertiesPOLICY_MGR_URL=http://192.168.4.50:6080REPOSITORY_NAME=hivedevCOMPONENT_INSTALL_DIR_NAME=/da...
Hive面试必知】Hive权限管理机制详解:模型、配置与实践指南
IT成长日记的博客
05-17 1513
Hive作为大数据生态系统中的重要数据仓库工具,其权限管理机制对于保障企业数据安全至关重要。本文详细介绍了Hive权限管理的各个方面,包括权限模型、配置方法、管理策略、实践建议以及与Apache Ranger集成
HBase的数据库与Apache Ranger集成
AI天才研究院
01-18 1132
1.背景介绍 HBase是一个分布式、可扩展、高性能的列式存储系统,基于Google的Bigtable设计。它是Hadoop生态系统的一部分,可以与HDFS、Hive、Pig、ZooKeeper等其他组件集成HBase具有高可用性、高可扩展性和高性能,适用于大规模数据存储和实时数据处理。 Apache Ranger是一个基于Apache Hadoop生态系统的安全管理框架,用于提供访问控制、...
大数据平台安全:Kerberos 认证与 Ranger 权限控制Hadoop 生态中的配置
2501_93879514的博客
11-01 446
Kerberos确保所有交互经过认证,防止中间人攻击。Ranger提供细粒度策略管理,如基于路径或列的访问控制配置完成后,运行测试作业(如 MapReduce 或 Hive 查询)验证安全链。定期审计策略和密钥,以维护系统安全。如果在生产环境部署,建议使用自动化工具(如 Ansible)管理配置,确保一致性和可靠性。
Apache Ranger的安装及其HBase插件的使用
进一步有一步的欢喜
09-15 4708
Apache Ranger是HDFS生态系统的安全管理框架,用于对HDFS生态的产品,包括HBaseHadoopHive、Kafka等提供一个集中式的安全管理策略Apache Ranger在架构组成上包括一个策略管理服务器(Policy Admin Server),该服务将策略存储于外部的关系型数据库,如MySQL中。
ranger安装hbase插件_ranger配置与使用
weixin_33849892的博客
12-30 658
ranger 是一个基于文本的由 Python 编写的文件管理器。不同层级的目录分别在一个面板的三列中进行展示. 可以通过快捷键, 书签, 鼠标以及历史命令在它们之间移动. 当选中文件或目录时, 会自动显示文件或目录的内容.主要特性有: vi 风格的快捷键, 书签, 选择, 标签, 选项卡, 命令历史, 创建符号链接的能力, 多种终端模式, 以及任务视图. ranger 可以定制命令和快捷键,包括...
hive表级权限控制_Apache RangerHive权限控制
weixin_39755824的博客
12-31 1803
一、Ranger概述1.Ranger简介Apache Ranger提供一个集中式安全管理框架, 并解决授权和审计。它可以对Hadoop生态的组件如HDFS、Yarn、HiveHbase等进行细粒度的数据访问控制。通过操作Ranger控制台,管理员可以轻松的通过配置策略控制用户访问权限。本文章介绍RangerHive集成过程,与使用方法2.Ranger包含以下组件Ranger Admin 用户...
ranger-2.1.0-hbase-plugin.tar.gz
08-09
Ranger提供了一种集中式的策略管理方式,可以对HDFS、HiveHBase等组件进行权限控制,包括读、写、执行等操作,并支持角色和用户组的概念。此外,它还具备审计功能,能够记录所有的访问尝试,以便于监控和分析。 ...
Zeppelin集成Ranger实现用户权限管控
u010543388的博客
07-30 2311
前言 一、架构说明 二、
Apache Ranger 2.0.0 Hive插件编译包免费下载
RangerHive集成可以为Hive提供安全策略,管理数据的访问权限,并且能够与Hive metastore和Tez等组件进行集成。 ### 插件文件 "ranger-2.0.0-hive-plugin.tar.gz" 这个文件名指代的是Apache Ranger的2.0.0版本的...
Atlas(元数据管理)从扫盲到和HiveHBase、Kafka、Flink等集成开发
大数据研习社
03-04 4279
Atlas(元数据管理)从扫盲到和HiveHBase、Kafka、Flink等集成开发 速点链接加入高手战队:http://www.dajiangtai.com/course/112.do 先对数据分个类 企业数据管理的内容及范畴通常包括交易数据、主数据以及元数据。 (1)交易数据:用于纪录业务事件,如客户的订单,投诉记录,客服申请等,它往往用于描述在某一个时间点上业务系统发...
ranger安装hbase插件_Ranger
weixin_28985877的博客
01-24 712
Apache Ranger是一个用来在Hadoop平台上进行监控,启用服务,以及全方位数据安全访问管理的安全框架。Ranger的官网:https://ranger.apache.org/Ranger的架构Ranger的工作原理 Ranager的核心是web应用程序,也成为RangerAdmin模块,此模块由管理策略,审计日志和报告等三部分组成。 管理员角色...
使用rangerhbase进行鉴权
关注微信公众号「Coding我不配」
03-22 6411
Ranger管理Hbase权限本文使用ranger安全框架对hbase进行权限管理,可以对hbase的table(namespace)、column-family、column设置权限Hbase版本为1.1.3,Ranger版本为0.5.3. Hbase完全分布式安装 Ranger-hbase-plugin-0.5.3安装 hbase鉴权测试 Hbase完全分布式安装本文是将Hbase安装在单节点
Ranger集成hive 安装与测试
wutiantesi的博客
06-17 3434
Ranger集成hive 安装与测试前期准备软件安装下载ranger2.0.0解压编译源文件解压安装安装Ranger控制台:Ranger—admin安装Ranger UsersyncHive插件安装创建Hive Service配置权限Row Level Filter(行级别过滤)参考博客声明 前期准备 ranger2.0.0 hive2.3.7 hive数据库创建t_user表 CREATE TABLE t_user (name STRING,phone STRING) ROW FORMAT D
Apache SeaTunnel介绍
清平乐的技术专栏
11-24 480
Apache SeaTunnel(原名 Waterdrop)是一款高性能、分布式的开源数据集成平台,主打海量数据的同步、ETL 处理等场景,能解决多数据源兼容、同步场景复杂等行业痛点,目前已成为 Apache 顶级项目,被近百家企业应用于生产环境。
apache seatunnel 2.3.12 Changelog
xqdd的专栏
11-24 701
apache seatunnel 2.3.12版本记录
Ubuntu二进制安装Apache Doris(2.1版本)
最新发布
xuyanqiang123的博客
11-25 514
我们问需要看项目的JDK版本。JDK8的话就使用2.1版本,17可以使用3.x和4.x版本。通过以下命令可以调整最大文件句柄数。下载对应的 Doris 二进制安装包,并解压到指定目录。进入fe,修改 /fe/conf/fe.conf。如果出现这个,就算上面一开始的配置没有配好。修改 systemd 服务配置
Java 制作小程序
2501_90980137的博客
11-24 568
• 核心组件:JFrame(主窗口)、JPanel(面板)、JButton(按钮)、JTextArea(文本域)、JLabel(标签)• 布局管理:优先使用 FlowLayout(流式)、BorderLayout(边界),复杂布局用 GridLayout(网格)• 基础依赖:理解 Java 面向对象(类、接口、继承)、IO 流、集合框架(ArrayList、HashMap)• 界面组件不显示:检查组件是否添加到容器、布局是否合理、窗口大小是否设置(setSize()
Docker--Apache/hadoop
qq_37062668的博客
11-21 488
【代码】Docker--Apache/hadoop
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值