本文详细介绍了如何通过Hive CLI手动配置ACL以实现Hive的权限管理,包括设置授权参数、按照特定链接进行权限分配,以及需要注意的HDFS权限问题。强调了在租户层面正确配置ACL的重要性,避免因HDFS权限限制导致的操作失败。
1 hive cli手动输入这三个设置开启hive acl
set hive.security.authorization.enabled=true;
set hive.security.authorization.createtable.owner.grants=ALL;
set hive.security.authorization.task.factory=org.apache.hadoop.hive.ql.parse.authorization.HiveAuthorizationTaskFactoryImpl;2 然后按照链接https://blog.youkuaiyun.com/lituao_lt/article/details/78590677进行赋权
3 注意问题:
所有一切的前提是:
(1)租户hive-site.xml文件配置了1 的三种acl配置,或者租户hive cli手动添加三种acl配置
(2)各个租户的hdfs 路径 "/user/用户" 的acl权限需要是757,不然就算赋予了A用户对B用户数据库d的ALL权限,依然会报hdfs 权限限制。
FAILED: Execution Error, return code 1 from org.apache.hadoop.hive.ql.exec.DDLTask. MetaException(message:Got exception: org.apache.hadoop.security.AccessControlException Permission denied: user=wkz, access=WRITE, inode="/user/hadoop/hadoop.db":hadoop:hadoop:drwxr-xr-x4. 总结,这种方式适合所有租户开启acl,并且hdfs路径为757,这样的话虽然hdfs有权限757,但是若hive acl没有权限,租户操作会报hive acl权限问题。
Authorization failed:No privilege 'Create' found for outputs { database:hadoop}. Use SHOW GRANT to get more details.5. 隐患:如果有个客户端没有acl配置,那么该客户端hive有权限操作所有hdfs权限为757的数据库,实用性不是很强。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
