大数据平台权限实践

最新推荐文章于 2024-06-13 08:45:00 发布
最新推荐文章于 2024-06-13 08:45:00 发布
阅读量2.3k 收藏 7
点赞数
CC 4.0 BY-SA版权
文章标签: 大数据 权限 sentry
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/meijies/article/details/99236849
本文介绍了大数据平台权限实践,采用Apache Sentry实现列级访问控制。背景是为了解决业务团队访问数据的需求,遵循适度安全、隔离环境和权责明确的原则。架构中包括Keepalived确保高可用,OpenLDAP统一用户认证,Sentry与查询引擎集成进行权限验证。讨论了用户认证过程和其他方案,如原本考虑的Sentry + Freeipa,但最终因kerberos限制改为OpenLDAP。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

大数据平台权限实践

背景

随着数据平台数据的不断积累,越来越多的业务团队需要访问、探索、分析这些数据。但是过去由于大数据平台本身的安全控制能力不足,我们不允许业务团队直接访问相关数据,而是通过提具体的需求,由我们向业务团队提供最终的数据。这种合作方式非常低效也不灵活,到现在已经无法满足要求,为此必须要开放我们的数据平台,而开放需要基本的安全,权限就是其中重要的一环。在为大数据平台集成权限的过程中,我们遵循了以下原则:

  • 适度安全,降低人为风险
  • 隔离环境,提高工作效率
  • 权责明确,规范业务流程

关于这个原则的进一步解释请参见深入探讨大数据权限管理方案-从哲学到技术

架构

大数据平台权限架构图

名词解释

  • VIP: 虚拟IP,keepalived可以配置合适的检测和选举策略,让VIP从一台服务器漂移到另一台服务器。例如当前节点上的服务失败了,能在很短的时间内切换到另一个节点上的服务,是热备的一种方案。
  • 负载均衡: 保证客户端访问查询计算引擎以及底层存储是负载均衡的并避免单点问题。
  • 查询计算引擎层: 被用来对数据进行导入,清洗,格式化,查询,分析等操作。
  • HDFS分布式文件系统: 数据是存储在HDFS分布式文件系统上的,和普通的文件系统一样,包含了用户用户组信息,以及数据的读写权限。Sentry是使用HDFS的用户组
最低0.47元/天 解锁文章

200万优质内容无限畅学
meijies
关注
权限不足_大数据平台权限实践
weixin_30969157的博客
01-13 472
背景随着数据平台数据的不断积累,越来越多的业务团队需要访问、探索、分析这些数据。但是过去由于大数据平台本身的安全控制能力不足,我们不允许业务团队直接访问相关数据,而是通过提具体的需求,由我们向业务团队提供最终的数据。这种合作方式非常低效也不灵活,到现在已经无法满足要求,为此必须要开放我们的数据平台,而开放需要基本的安全,权限就是其中重要的一环。在为大数据平台集成权限的过程中,我们遵循了以下原则:适...
国产大数据平台建设实践
最新发布
银行信息系统架构详解
05-20 690
国产大数据平台在银行业的发展经历了从技术引进到自主创新的三个阶段:2000-2014年主要依赖国外技术构建基础架构;2015-2020年逐步转向分布式架构和实时计算;2021年至今,加速向实时化数据处理转型,并探索大数据、云原生和AI的深度融合。当前,银行业在建设新一代自主创新大数据平台时,主要关注架构先进性、平台扩展性和实施可行性。腾讯云推出的金融级全栈大数据解决方案TBDS,支持湖仓架构数据平台建设,提供完备的产品能力、成熟的迁移体系和持续的可成长性,助力银行业实现全域数据资产管理与数据智能场景落地。
大数据权限与安全
docsz的博客
06-07 3376
大数据权限与安全
【企业实践案例】- 滴滴大数据安全权限实践
Pushkin.的博客
07-18 959
滴滴大数据权限安全实践 大数据安全 大数据数据鉴权 企业实践
大数据权限管理框架原理和实践.ppt
a934079371的博客
10-05 304
点击上方 "大数据肌肉猿"关注,星标一起成长点击下方链接,进入高质量学习交流群今日更新| 1052个转型案例分享-大数据交流群注:由于属于公司内部资料,本文完整PPT原件会发到朋友圈供大家学习,可以自行获取。文末有二维码,可以按需添加。如何获取?因为百度网盘链接经常失效,已经加我微信的同学,我会将该资料发到朋友圈,方便实时更新链接,大家记得及时保存。不是我好友的,可以添加下方微信,备注【权限】,...
大数据平台数据权限管理设计
遥望......
02-25 6740
背景和范围 当前大数据团队没有一个统一的操作权限控制和管理平台,对于分析师在服务器上的权限,目前都是给予对应分析节点的EC2机器账号,且为了方便操作和管理都是给予的管理员权限,因此安全性风险较大;对于数据开发者,主要通过分配IAM控制AWS的操作权限;对于team的所有人都是通过分配aws的ak,sk在本地进行操作赋权;随着数据平台的不断的丰富和完善,需要在各组件之上做认证,鉴权和审计等管理,数...
ODPS权威指南 阿里大数据平台应用开发实践
04-06
《ODPS权威指南:阿里大数据平台应用开发实践》是一本深度解析阿里巴巴ODPS技术的专著,旨在为读者提供全面、深入的ODPS理解和应用经验。ODPS,全称为Open Data Processing Service,是阿里巴巴集团自主研发的大数据...
大数据平台最佳实践.rar
09-07
大数据平台最佳实践是现代企业数字化转型的关键组成部分,它旨在通过高效的数据处理、分析和洞察,为企业决策提供强有力的支持。在本资料"大数据平台最佳实践.ppt"中,我们可以期待了解到一系列关于构建和优化大数据...
网易大数据平台架构实践.pptx
10-14
网易大数据平台架构实践展示了其在大数据领域的发展历程和技术创新,旨在提供高效、安全且易用的大数据解决方案。该平台经历了四个主要阶段:初级阶段、起步阶段、整合阶段和平台化阶段,逐渐形成了一个全面的大数据...
大数据平台权限管理
youziguo的专栏
06-13 2427
大数据平台权限管理是一个多层次、多方面的过程,涉及身份验证、授权和审计等环节。通过使用合适的工具和技术,遵循最佳实践,可以有效地保护数据安全,确保合规性并支持业务需求。
如何用 Vue 实现前端权限控制
热门推荐
技术杂谈
12-20 4万+
本文来自作者 雅X共赏 在 GitChat 上分享 「如何用 Vue 实现前端权限控制(路由权限 + 视图权限 + 请求权限)」,「阅读原文」查看交流实录。「文末高能」编辑 | 哈比为什么做前端权限控制前端权限控制并不是新生事物,早在后端 MVC 时代,web 系统中就已经普遍存在对按钮和菜单的显示 / 隐藏控制,只不过当时它们是由后端程序员在 jsp 或者 php 模板中实现的。随着前后端分离架
DAP数据分析平台权限体系说明
数通畅联
10-10 1043
DAP数据分析平台通过授权管理进行角色授权、配置授权、业务授权实现三权分立,使企业分工明确、各司其职。本文针对DAP数据分析平台权限体系进行说明。
信息安全-数据安全-字节大数据平台安全与权限治理实践
码者人生的技术博客
05-20 1989
A3:答案是否定的。第一,正常情况下数据应用是经常性的,并且数据权限是全鉴权机制,若在用户数据同时出现在双日志中此部分数据权限不会被判定为冗余权限也不用影响到数据的应用。数据审计:数据审计主要分为三部分,数据的访问行为审计、数据授权的审计以及聚焦于数据安全产品本身可操作行为的审计。A2:以单人来举例,一个用户在治理前拥有 100 个权限,其中 50 个长期不访问,那么他的权限冗余占比为50%,通过治理回收了长期不访问的 50 个权限中的 40 个,那么治理后的权限冗余占比为 10/60=16.67%。
大数据权限管理利器 - Ranger
eyoulc123的博客
03-01 2万+
1. 介绍 Ranger是HDP体系统中安全管理的重要一环。它提供了具体资源(如HBase中的具体表)权限管控、访问监控、数据加密的功能。 2. 组件介绍 2.1 整体说明 Raner是由三个部分组件:Ranger Admin 、Ranger Usersync 与Ranger plugin,它们关系如下: 在Ranger的官网中有对于这三个组件的说明 组件名称 ...
大数据权限管理-研究过程及组件介绍(1)
辉哥大数据
07-10 1103
目录 1、问题 2、研究过程及结果 3、组件介绍 hue介绍 Security介绍 ACLs介绍 ldap介绍 1、问题: 大数据平台权限问题让不少架构师是头疼,大数据平台中【HIVE库】和【HDFS目录】让用户随意操作,以至于【HIVE库】和【HDFS目录】中敏感区和非敏感区得不到有效控制。 就算通过HDFS的ACL控制了,但通过程序任何用户依然操作【HIVE库】和【HDFS目录】中敏感区...
数据权限实现方案遐想
qq_33632491的博客
12-24 3257
最近在研究权限功能,想要开发一套通用的权限模型。 主要包含了功能权限数据权限两种。其实功能权限分为模块权限、页面权限、操作权限这三类加上数据权限就一共是四类了。 功能权限和包含的模块权限、页面权限、操作权限采用统一RBAC设计或者再引入一些角色组、用户组、权限组等分类概念就可以完美的实现了。能够应对小型系统或者大型的人员数量很多的系统。 但是数据权限是一个难点(这里只考虑数据行,而不考虑数据列能否查看的问题,这个以后再讨论),数据权限的分类是相对容易的,我认为一般的数据权限层级都可以使用树状图来呈现
关于数据权限的一些思考和解决方法
FinelyYang的专栏
05-30 2865
最近在研究数据权限的时候,自己做了些思考和实践,本文记录下过程以免忘记。 一、角色都会配置功能权限,此项内容不做赘述。我在角色表中新增字段data_scope,这个用于标记角色拥有的数据权限, 主要分为3种类型:1代表本人,2代表本部门,3代表本机构。数据权限类型可以自行扩展。表结构如下: 二、用户登录时查询拥有的角色,从角色中获取data_scope值,排序,取出优先级(类型值最大的)最大的,我设计的是值越大拥有的数据权限越大。 /** * 获取数据权...
深入探讨大数据权限管理方案-从哲学到技术
colorant的专栏
11-30 1万+
不论是在技术层面还是在产品层面,大数据平台环境下的权限管理工作都是一个让人伤脑筋的烫手山芋,它不仅仅是一个技术问题,还是一个业务问题,甚至还可能是一个人际沟通和权衡利益得失的哲学问题。。。所以,以下内容分两部分展开,先谈哲学问题,再谈技术问题。
数据仓库之用户权限分配
cining2000的博客
01-10 933
基于RBAC(基于角色的权限控制 Role Base Access Control)来设计数据仓库中的用户权限。关于这块详细研究了几天,对其中的体会心得做一些记录,以促进自己进步。 这里只讨论基本的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值