超级会员免费看
大数据安全:Sentry策略管理与集群活动审计
1. Sentry权限管理基础
在大数据环境中,Sentry在权限管理方面发挥着重要作用。使用 WITH GRANT OPTION 可以减轻全局SQL管理员的管理负担。例如,为特定业务线创建Hive数据库,并将管理权限委派给特定数据库的管理角色,这样业务线就能灵活管理自身数据的权限。可以使用 SHOW GRANT ROLE role_name 命令查看角色是否具有此选项,并查看 grant_option 列。
在HiveServer2中可以使用beeline CLI执行相关命令,这些命令也能在impala - shell中运行。因为两者使用相同的Sentry服务和策略,所以在一个组件中进行的更改会立即反映在另一个组件中。并且,由于安全方面的考虑,各个组件不会缓存Sentry授权决策。
2. SQL策略文件
对于使用Sentry服务进行SQL组件管理的部署,策略管理相对简单。但传统的基于策略文件的实现则有所不同。启用Sentry的组件需要对策略文件有读取权限。在为Hive和Impala使用策略文件时,可以将文件的组所有权设置为hive组,并确保hive和impala用户都是该组的成员。
策略文件可以位于本地系统或HDFS中。若位于本地系统,文件需存在于进行授权决策的组件所在的机器上。例如,当为Hive启用Sentry时,本地策略文件需位于运行HiveServer2守护进程的机器上。
强烈建议将策略文件指定在HDFS中,以利用HDFS的复制功能来提高冗余性和可用性。由于每次用户操作都会
订阅专栏 解锁全文
扫一扫
1264
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
