Spark SQL 权限控制

最新推荐文章于 2025-09-30 15:13:21 发布
原创 最新推荐文章于 2025-09-30 15:13:21 发布 · 3.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spark #hdfs

本文探讨了三种控制Spark权限的方法:通过Hive权限控制Spark、改造Spark源码实现权限控制及利用HDFS文件权限控制Spark权限。文章详细介绍了每种方法的操作步骤及优缺点。
背景

Spark如今已经是我们最常用的计算和查询引擎之一,但是很遗憾的是社区版的Spark本身没有任何权限控制手段(据说Spark的Thrift server服务支持create/drop权限控制,但我并未试过,而且只有这种层次的控制并不够),我们当然可以在应用层通过业务功能来从平台上控制用户的权限,但随着业务进化,从中间件层次对Spark做出和hive一样的权限控制也十分重要。由于目前还没有很成熟方案,下面是我的一些探索,给有同样需求的同学一些思路。

1. 通过控制hive权限来控制Spark权限

我们平时使用spark大多数是通过hive元数据来获取数仓中的库表信息,那么我们是否可以通过控制hive的权限来间接控制spark呢?

先说结论,不可行。下边是尝试过程。

首先我们通过root用户,在数仓的db_test1数据库下创建了一张test1表,并插入了简单的数据。结构很简单:
在这里插入图片描述
下面我们使用root用户通过hive cli查询:
在这里插入图片描述
可以正常查出数据,没有问题,接下来我们切换非同组的另一不相关的admin用户,同样通过hive cli来查询这张表:
在这里插入图片描述
提示我们没有查询权限(hive权限控制启用方法此处不再赘述),可见hive权限控制是成功的,下面我们仍然使用admin用户,进入spark-sql cli查询:
在这里插入图片描述
Spark仍然成功查到了数据,可见hive的权限控制是不会影响Spark查询的,猜测hive应该是在执行SQL的时候,通过HiveParser解析SQL时去进行权限控制的,而Spark只是使用了hive的元数据信息,所以不会受到权限影响。

2.改造Spark源码控制SQL权限

在hive权限不会影响spark权限的情况下,如果我们想要和hive共享同一套权限怎么办呢?我们可以尝试去改造Spark源码并重新编译,思路是通过Aspect拦截Spark的方法,实现权限控制。
下载Spark源码后,我们在sql module下新增一个aspect package,新建了一个名为SparkSqlAspect的Scala类
在这里插入图片描述
下面是我添加的代码:

@Aspect
class SparkSqlAspect {
  val execution = "execution(public org.apache.spark.sql.Dataset<org.apache.spark.sql.Row> " +
    "org.apache.spark.sql.SparkSession.sql(java.lang.String)) && args(sqlRaw)"
  @Around(execution)
  def around(pjp: ProceedingJoinPoint, sqlRaw: String): Dataset[Row] = {
    val sql = sqlRaw.trim
    val spark = pjp
      .getThis
      .asInstanceOf[SparkSession]
    val userName = spark
      .sparkContext
      .sparkUser
    if (accessControl(sql, userName, spark)) {
      pjp
        .proceed(pjp.getArgs)
        .asInstanceOf[Dataset[Row]]
    } else {
      throw new IllegalAccessException("Permission denied")
    }
  }

  /**
   * 权限控制
   * @param sql sql内容
   * @param userName 用户名
   * @param spark SparkSession
   * @return Boolean
   */
  def accessControl(sql: String, userName: String, spark: SparkSession): Boolean = {
    val logicalPlan = spark.sessionState.sqlParser.parsePlan(sql)
    import org.apache.spark.sql.catalyst.analysis.UnresolvedRelation
    val tableSeq = logicalPlan
      .collect { case r: UnresolvedRelation => r.tableName }
//  结合sql,tableSeq,userName进行权限控制
    
    true
  }

}

通过拦截spark.sql()等方法,来进行权限控制,比如此处可以链接到hive元数据结合校验。改造完成后,需要重新编译源码。这种方法是可行的,但是不是很推荐,因为对日后升级版本很不利,而且重新编译源码费时费力。

3.通过控制Hadoop的HDFS文件权限来控制Spark权限

HDFS文件系统本身是有rwx这种权限控制的,我们可以通过控制HDFS文件的权限来影响Spark权限,我们仍然使用1中的db_test1库测试,分别使用root和admin用户在这个库下建立两张表test1和test2。
在这里插入图片描述
可以看到默认的表权限为755,理论上我们通过Spark是可以任意查询数据的,下面我们使用root用户进入spark-sql cli,查询test2这张表:
在这里插入图片描述
成功查询出了数据,接下来我们修改test2的权限为700:
在这里插入图片描述
再次使用root用户在spark-sql cli下查询:
在这里插入图片描述
提示没有权限,可见权限控制成功了。
那么这个权限是否也会影响hive呢?答案是肯定的,我们使用root用户在hive cli下尝试:
在这里插入图片描述
同样的效果。主流的Sentry等框架,也是基于这个思路来进行权限控制的。
控制HDFS权限是一种更为底层的控制方式,假设root用户在HDFS上拥有了test2库的读取权限,但在hive上未赋权,那在hive中仍然是无法查询的:
在这里插入图片描述
但在Spark上是可以查询的,原因前边已经论述过了。

到此为止,看起来我们已经可以控制SparkSQL的权限了,但这种方式真的足够安全吗?

需要注意的是,Hadoop开发之初,是假定Hadoop工作在安全的集群环境下的,所以只有单纯的文件权限这种控制。实际这是比较薄弱的,并不是一种非常安全的控制方式,因为Hadoop在登陆时,获取用户名的方式是这样的:

在使用了kerberos的情况下,从javax.security.auth.kerberos.KerberosPrincipal的实例获取username。
在未使用kerberos的情况下,优先读取HADOOP_USER_NAME这个系统环境变量
如果没有读取到,则读取HADOOP_USER_NAME这个java环境变量。
如果没有读取到,则从com.sun.security.auth.NTUserPrincipal或com.sun.security.auth.UnixPrincipal的实例获取username。
如果以上尝试都失败,那么抛出异常LoginException(“Can’t find user name”)。
最终拿username构造org.apache.hadoop.security.User的实例添加到Subject中。

可见我们完全可以模拟一个用户来骗过服务器,我们写一个简单的Demo:

object StartTest {
  val logger: Logger = LoggerFactory.getLogger(StartTest.getClass)

  def main(args: Array[String]): Unit = {
    System.setProperty("HADOOP_USER_NAME", "root")

    SparkSession
      .builder()
      .appName("test")
      .enableHiveSupport()
      .master("local[*]")
      .getOrCreate()
      .sql("select * from db_test1.test1")
      .rdd
      .collect()
  }

}

还是刚才的权限环境,我们通过 System.setProperty(“HADOOP_USER_NAME”, “root”),把用户名写进JAVA环境变量中,将自己的身份伪造成root用户,这样,无论使用哪个用户执行这段程序,都可以读取到db_test1.test1的内容。

可见如果想做到更强力的权限控制,还是应该考虑结合kerberos做身份鉴别,由kerberos保证登录到集群的用户就是他所声称的用户,由HDFS权限来决定用户的权限。

提升数据安全性和可控性:基于Ranger的Spark SQL权限控制实践之路
BitCodeW的博客
09-14 529
通过使用Apache Ranger,我们可以实现基于Spark SQL的数据访问权限控制,提高数据的安全性和可控性。通过集成Ranger,我们可以灵活地定义和管理Spark SQL的访问权限,从而实现对数据的安全保护和细粒度的权限控制。通过采用基于Ranger的Spark SQL权限控制实践,我们可以更好地管理和控制数据访问权限,提高数据的安全性和可控性。通过创建和配置多个策略,您可以实现细粒度的权限控制,确保只有经过授权的用户才能访问特定的数据资源。创建一个新的策略,并指定策略名称和描述。
提升数据安全性和可控性:基于Ranger实现的Spark SQL权限控制实践
UneDatabase的博客
09-26 451
通过将Apache Ranger与Spark SQL集成,我们可以实现对Spark SQL查询和操作的权限控制,确保只有经过授权的用户可以访问和操作数据。在上面的策略中,我们指定了一个名为"employees_policy"的访问策略,它允许"user1"和"user2"这两个用户对"default"数据库中的"employees"表执行"select"操作。通过定义访问策略和集成Ranger插件,我们能够对Spark SQL查询和操作进行细粒度的权限控制,确保只有经过授权的用户可以访问和操作数据。
提高数据的安全性和可控性,数栈基于 Ranger 实现的 Spark SQL 权限控制实践之路
a958014226的博客
05-17 1010
在 Ranger 中添加一个新服务的权限校验可分为两部分:第一部分是为 Ranger 增加新服务模块;第二部分是在新服务中增加 Ranger权限校验插件。● Ranger 增加新服务模块Ranger 增加新服务模块是在 Ranger Admin Web UI 界面增加对应服务模块,用来为对应服务添加对应资源的授权策略。
权限控制系统设计及Spark SQL 数据权限控制设计
半日闲的博客
05-18 866
权限控制系统基础 权限控制系统设计在OA系统,数据系统中其实都差不多,离不开三级体系设计: Role, User, Principal. 具体叫法在各个系统的实现上会有差别。 Role : 多个User 属于一个Role,User 用于Role 的所有权限。 User : 系统用户,User 一般我们会做登录鉴权,在权限控制体系中,一般都是用于获取Role 的相关信息 Principal : 这个中文不知道怎么翻译,我的理解就是一个具体权限的描述,包括<Role, Object, Privilege
给你的老系统装上“六层护盾”:SPARK 权限管控全景解析
最新发布
领码SPARK - 以无代码之星火,燎原数字之未来!
09-30 1306
《老系统安全升级的六层护盾解决方案》摘要: 本文针对老系统重构风险高、安全合规难的问题,提出"非颠覆性改造"方案。通过领码SPARK平台实现六层纵深防御体系:数据库层加密脱敏、页面层动态渲染、操作层强制校验、模型层可视化编排、记录层行级过滤、字段层细粒度控制。该方案采用元数据驱动和AI辅助,10步完成系统改造,支持跨行业应用,在保留原有业务逻辑的同时提升安全性。典型案例显示,系统可实现对敏感数据的多层级防护,使老系统无需重构即获得现代化治理能力,将合规负担转化为竞争优势。
Ranger、LLAP管理SparkSQL权限配置(hiveserver2)
TBSOD的博客
05-08 3544
转载:https://zhuanlan.zhihu.com/p/35647068 概述 之前一直使用ranger管理hive的用户权限,现在系统要集成SparkSQL(thriftserver),但是在ranger下并没有SparkSQL的相关的插件,通过搜集HORTONWORKS相关资料,可以给SparkSQL配置LLAP(关于LLAP的更多细节,查看https://cwiki.apache...
Spark的安全与权限管理
AI天才研究院
01-18 1334
1.背景介绍 Spark是一个快速、易用、高吞吐量和广度的大数据处理框架。它广泛应用于数据处理、机器学习、图像处理等领域。随着Spark的广泛应用,数据安全和权限管理变得越来越重要。本文将从以下几个方面进行讨论: Spark的安全与权限管理背景 Spark的核心概念与联系 Spark的核心算法原理和具体操作步骤以及数学模型公式详细讲解 Spark的具体代码实例和详细解释说明 Spark的未来...
基于spark sql引擎的即席查询服务.zip
04-25
7. **安全性**:实施访问控制和身份验证,保护数据安全,例如使用Kerberos进行身份验证,或者设置Spark SQLSQL权限。 8. **监控与调优**:利用Spark的监控工具,如Web UI、Event Log和Metrics System,监控任务...
Spark SQL数据源 - Hive表
IT深耕十余载,大道之简
06-01 1368
Spark SQL对Hive的支持非常强大,可以直接读取和写入Hive表中的数据。Hive是一个基于Hadoop的数据仓库,它提供了SQL接口来查询和管理存储在HDFS或其他Hadoop兼容存储系统中的数据。
Spark进阶(五)Spark的安全和权限管理
runqu的博客
04-04 1844
学习如何配置Spark的安全认证和权限管理,以保护Spark集群和应用程序的数据和资源安全。
深入了解Spark的安全与权限管理
AI天才研究院
01-25 1046
1.背景介绍 1. 背景介绍 Apache Spark是一个开源的大规模数据处理框架,它提供了易用的编程模型,支持数据科学家和开发人员在各种数据源(如HDFS、HBase、Cassandra等)上进行快速、高效的数据处理和分析。随着Spark的广泛应用,安全和权限管理变得越来越重要。本文将深入了解Spark的安全与权限管理,涵盖了核心概念、算法原理、最佳实践、实际应用场景和工具推荐等方面。 ...
SparkSQL集成sentry权限认证
星星木有夜
11-05 2225
0、SparkSQL要集成sentry权限认证要解决下面几个问题: 1、从hive认证hook中找到sentry认证方法,并将认证代码提取出来 2、从spark sql的逻辑计划中提取sentry认证方法所需的参数 3、通过spark sql extensions将认证添加到spark sql的执行过程中 1、提取sentry认证方法 从sentry源代码中逐步查看hive hook的代码,终于找...
Spark Job Server 权限管理系统详解
gitblog_01170的博客
06-19 373
Spark Job Server 提供了一套完整的权限管理系统,用于控制用户对分布式计算资源的访问。该系统支持细粒度的权限控制,能够有效保护敏感数据和计算资源,是企业级部署的关键功能。 ## 权限体系架构 ### 核心权限类型 Spark Job Server 定义了四大类核心权限,每类权限都包含细分的操作权限: ```mermaid classDiagram class Perm...
访问权限控制
loveyu0428的专栏
05-31 207
Java访问权限控制机制用于控制类、方法、域等Java元素的使用权限。Java语言通过多层次的访问权限控制,实现对访问权限的精确的控制。如果把方法和域看做是服务的话,那么不同的访问权限就像不同的服务级别一样,有普通服务、会员服务、钻石VIP服务等等,每种服务的级别是不一样的。那么,Java是如何实现访问权限控制的呢? 主要通过包机制、访问控制符(modifier)这两种机制来实现。包不仅是一...
spark sql出现创建文件权限不够的问题
TingSty小z的博客
03-04 2205
Spark shell 执行 sql, 出现权限不够的问题 java.io.IOException: 权限不够 at java.io.UnixFileSystem.createFileExclusively(Native Method) 从日志上看 spark创建临时文件权限不够,默认情况下spark.local.dir是spark创建临时文件的目录,如果没有在spark的conf中指定,默认的目录是/tmp,所以当前问题 需要看下当前用户是否能在根目录下创建文件。 正确的tmp目录的权限: 一般是r
spark+hive运行时没有写权限
yangbosos的博客
04-22 2181
当使用spark连接hive时,无论是通过spark-submit提交作业,还是使用spark-shell,spark-sql 都会报以下错误: Exception in thread "main" java.lang.RuntimeException: java.lang.RuntimeException: The root scratch dir: /tmp/hive on HDFS sho...
Spark立体全服务SQL鉴权
简单就好
02-20 2862
1、问题背景 在Zeppelin连接Spark实现SQLStdBasedAuthorization权限验证一文中说明了使用Zeppelin的jdbc解析器连接Spark Thriftserver的鉴权处理方案,解决通过Thriftserver使用Spark sql的权限问题。 要让Spark全方位提供给不同层次用户使用,开放的使用接口除了Thriftserver(jdbc接口),还有Spark...
大数据之spark(代码生成表权限问题)
weixin_43390992的博客
02-17 451
模拟数据生成权限问题 报错信息如下: 解决办法: hdfs-site.xml中添加如下配置文件即可解决 &amp;amp;lt;property&amp;amp;gt; &amp;amp;lt;name&amp;amp;gt;dfs.permissions&amp;amp;lt;/name&amp;amp;gt; &amp;amp;lt;value&amp;amp;gt;false&amp;amp;lt;/value&a
spark paimon ranger控制权限
03-20
<think>好的,我需要帮助用户了解如何通过Apache Ranger来管理Spark和Paimon的权限。首先,我需要回忆Apache Ranger的基本功能,它是一个集中式的权限管理框架,支持Hadoop生态中的多种组件,比如HDFS、Hive、HBase等。但用户提到的Spark和Paimon可能需要特定的插件或配置。 接下来,我应该考虑Spark的权限管理。Spark本身没有内置的权限控制,通常依赖于底层资源管理器(如YARN)或存储系统(如HDFS)的权限。但结合Ranger的话,可能需要使用Ranger的插件,比如Ranger for Spark SQL,通过定义策略来控制对数据库、表、列的访问。这里需要确认Ranger是否支持Spark SQL,以及如何集成。 然后是Paimon,这是一个流批一体存储系统,可能和Hive类似,需要管理表的读写权限。如果Paimon与Hive Metastore集成,可能可以利用Ranger的Hive插件来管理权限。否则,可能需要Paimon自身的权限机制或扩展Ranger来支持。用户提供的引用中提到了使用Spark Catalog配置Paimon,元数据存储在HDFS,所以可能Paimon的元数据管理方式与Hive类似,这样Ranger的Hive插件可能适用。 接下来需要整理步骤:首先配置Ranger服务,安装对应的插件,然后为Spark和Paimon定义访问策略,最后测试策略是否生效。可能还需要考虑Kerberos集成,确保认证层面的安全。 需要注意的细节包括:Ranger策略的细粒度控制,比如列级权限,以及如何与Spark SQL和Paimon的访问控制结合。此外,用户提到的Spark配置中使用了paimon catalog,可能需要确保Ranger能够识别这个catalog下的元数据,并应用相应的策略。 最后,生成相关问题时要围绕权限管理、集成方式、最佳实践和常见问题来提问,帮助用户进一步探索。</think>### 通过 Apache Ranger 控制 Spark 和 Paimon 权限的最佳实践 #### 1. **权限管理架构设计** - **Apache Ranger 角色**:作为集中式权限管理框架,Ranger 可通过插件机制与 Spark 和 Paimon 集成,提供基于策略的访问控制(如库、表、列级别权限)[^1]。 - **认证集成**:建议与 Kerberos 结合实现身份认证,确保用户身份可信后再通过 Ranger 授权。 #### 2. **Spark 权限配置** - **Spark SQL 集成 Ranger**: - 安装 Ranger Spark Plugin,并在 Spark 配置中启用: ```bash --conf spark.sql.extensions=org.apache.ranger.authorization.spark.authorizer.RangerSparkSQLExtension --conf spark.sql.catalog.paimon=org.apache.paimon.spark.SparkCatalog --conf spark.sql.catalog.paimon.warehouse=hdfs:///path/to/warehouse ``` - 在 Ranger Admin 控制台定义策略(如限制用户对 `paimon` Catalog 下特定表的 SELECT/INSERT 权限)。 - **HDFS 存储层控制**:通过 Ranger HDFS Plugin 控制 `hdfs:///path/to/warehouse` 目录的读写权限,避免绕过 Spark 直接操作文件。 #### 3. **Paimon 权限配置** - **元数据与 Hive Metastore 集成**: - 若 Paimon 使用 Hive Metastore 管理元数据,可直接通过 Ranger Hive Plugin 控制表权限。 - 策略示例:限制用户对 `paimon.db.table1` 的 `SELECT` 操作。 - **独立权限扩展**:若 Paimon 使用独立元数据存储,需开发自定义 Ranger Plugin 或利用其 ACL 功能。 #### 4. **操作步骤** 1. **安装 Ranger 插件**: - 部署 Ranger Spark Plugin 和 HDFS Plugin。 - 同步用户/用户组信息到 Ranger。 2. **定义策略**: - 在 Ranger 控制台创建资源策略(如 `paimon` Catalog 下的表、HDFS 路径)。 - 设置细粒度权限(如列掩码、行过滤)。 3. **验证权限**: ```sql -- 用户执行 Spark SQL 查询时触发权限检查 SELECT * FROM paimon.db.table1 WHERE column1 > 100; ``` 若未授权,Ranger 会拦截并返回权限错误。 #### 5. **注意事项** - **审计与监控**:通过 Ranger Audit 日志追踪所有访问事件。 - **策略同步**:确保 Ranger 策略及时同步到 Spark 和 Paimon 服务端。 - **多租户隔离**:结合 HDFS 目录结构和 Ranger 策略实现租户间数据隔离。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值