Apache Ranger安全区介绍

最新推荐文章于 2025-05-17 20:52:00 发布
原创 最新推荐文章于 2025-05-17 20:52:00 发布 · 1.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#大数据 #数据安全

本文深入探讨ApacheRanger安全区特性,介绍如何利用安全区进行细粒度的资源管理和策略分配,支持跨服务组件的资源策略设定,提升大数据安全管理效率。

本文主要介绍大数据安全管理系统Apache Ranger的安全区Security Zone,根据官方文档人工翻译而来。

介绍

        Apache Ranger为很多Hadoop组件服务和非Hadoop服务提供授权和访问审计服务,比如HDFS、Hive、 HBase、YARN、 Kafka、Storm、 Knox、Atlas、NiFi、Solr等。另外,Apache Ranger可为服务组件提供可伸缩的密钥管理服务,比如为HDFS提供用于数据传输加密的密钥管理服务。并且支持Hive数据仓库的数据脱敏和行过滤策略。

        Apache Ranger可以管理授权策略,交互式查看同一部署环境中跨组件的资源访问情况,从一个集中的管理台界面操作使得管理更简单。同时,Apache Ranger提供丰富的Rest API接口,使得与其它应用的集成更简单。

        在本文中,我们将介绍一种新的特性“安全区”,它将允许分配一个服务中的资源到多个区域中,以便更好地进行安全策略管理。可以使多个管理员基于已赋予管理权限的区域为服务设置安全策略。

例如,让我们考虑两个安全区“财务”和“销售”:

  1. 安全区“财务”包含hive 仓库中名为“财务”的所有内容
  2. 安全区“销售”包含hive 仓库中名为“销售”的所有内容
  3. 用户和组的集合被指定为每个安全区的管理员
  4. 用户只能在他们作为管理员的安全区中设置策略 
  5. 安全区中定义的策略仅适用于区域中的资源
  6. 可以扩展区域以包括来自多个服务(例如HDFS,Hive,HBase,Kafka等)的资源,从而允许安全区管理员为所在组织服务拥有的资源设置策略。

在本文中我们将了解到安全区更详细的信息。

Apache Ranger授权

在我们深入研究安全区之前,让我们先简要了解一下Ranger的授权模型:

- Ranger 管理台, 一个WEB应用,提供UI控制台界面用于创建安全策略和交互地查看访问审计日志

- Ranger授权插件在服务组件中执行资源访问授权,比如HDFS、 Hive、 HBase、YARN、Kafka等服务,并且生成访问审计日志

- Ranger授权插件根据配置通过REST API调用Ranger管理台获得安全策略这些插件还定期从Ranger管理台拉取安全策略的变化信息。

- 每个服务(比如HDFS NameNode、HiveServer2)的安全策略在Ranger 管理台的“service”中定义。 Ranger授权插件根据配置使用指定服务的策略。

安全区

什么是安全区?

1. 安全区由一个或多个服务组件的资源设置组成。 安全区相关的例子如下:

区域: 财务 

服务: prod_hadoop; path=/finance/*, /taxes/*

服务: prod_hive; database=finance

服务: prod_kafka; topic=FIN_*

服务: test_hadoop; path=/finance/*, /taxes/*

区域: 销售

服务: prod_hadoop; path=/sales/*

服务: prod_hive; database=sales

服务: prod_kafka; topic=SALES_*

从上面可以看到,资源可以使用

最低0.47元/天 解锁文章
数据治理(十一):数据安全管理Ranger初步认识
Lansonli(蓝深李)的博客
04-14 3463
目录 数据安全管理Ranger初步认识 一、Ranger介绍 二、Ranger架构 数据安全管理Ranger初步认识 在大数据平台中,有海量数据存储,通畅在采集数据过程中敏感数据有意或者无意的进入大数据平台中,数据安全管理非常重要。我们不希望一些敏感数据被他人访问,希望可以按照一种规则给部分人访问权限,以防止数据泄露,针对数据安全管理可以使用Apache Ranger实现。 一、​​​​​​​Ranger介绍 Apache Ranger提供一个集中式安全管理框架, 并解决授权和审计。它
Apache Ranger 70道面试题及参考答案
大模型大数据攻城狮的专栏
10-07 1582
如果策略规定某个用户不能对特定的 Hive 表进行读取操作,当该用户尝试访问这个表时,Hive 服务节点上的 Agent Plugin 会阻止这个请求,从而确保数据的安全性。在这种情况下,可以创建一个子策略,继承父策略的基础权限设置,然后在子策略中添加特定于项目的限制,比如只允许特定用户组对某些特定的 Hive 表进行写入操作。例如,如果一个用户被授予了对某个 Hive 表的读取权限,当该用户尝试读取这个表时,能够成功获取数据,而没有出现权限被拒绝的错误,那么可以初步判断该策略对这个用户的读取权限生效。
Ranger (八)
m0_48187193的博客
03-15 791
创建时间限制策略 管理员策略有效期配置策略在指定时间段内生效。您可以为基于资源和基于标签的策略添加有效期。 关于这个任务 时限策略用例示例: •在收益发布日期之前,限制对敏感财务信息的访问。 •在一段特定的时间内阻止某个用户(例如,一个被调查的用户帐户需要被“搁置”,无法访问Hadoop服务中的资源)。 •在特定的时间内阻止特定的群体(例如,在假期期间不允许临时员工写资源)。 注意:下面的过程展示了如何创建一个有时间限制的基于资源的策略。对于基于标记的资源策略,这个过程本质上是相同的。 过程 在管理员服务
0745-什么是Apache Ranger - 3
Hadoop_SC的博客
02-14 493
作者:Eric Lin (林晨辉), Cloudera高级售后技术支持工程师。毕业于Monash大学计算机科学, Sir John Monash的奖学金获得者。曾就业于数据收集公司如Hitwise(现为Experian的子公司)和Effective Measure,担任高级工程师,负责设计,开发和管理用于采集, 处理和报告网络数据的平台(基于PHP,Java和CDH)。现任职Cloudera, 担...
干货:一文看懂Apache Ranger | 凌云时刻
云布道师
05-26 7991
凌云时刻 ·技术导读:Apache Ranger来源于XA Secure公司。2013年,XA Secure在加利福尼亚成立,专门做Hadoop生态的安全管控。2014年,Horton...
探索数据安全新境界:Apache Spark SQL Ranger Security插件深度揭秘
gitblog_00057的博客
08-06 780
探索数据安全新境界:Apache Spark SQL Ranger Security插件深度揭秘 随着大数据的爆炸性增长,数据安全性成为了企业不可忽视的核心议题。在这一背景下,【Apache Spark SQL Ranger Security Plugin】以其强大的数据访问控制能力脱颖而出,成为数据处理领域的明星级解决方案。今天,我们就来深入探讨这一开源项目,揭示其如何助力企业实现精细化的数据权...
基于Apache hadoop搭建高可用、高安全的大数据中台
07-20
- **认证与授权**:利用FreeIPA进行统一的身份管理和认证,结合Apache Ranger实现细粒度的权限管理。 - **数据加密**:对于敏感数据,可以在传输过程中和存储时都采用加密措施,以防止数据泄露。 **3.3 成本效益...
大数据环境下数据仓库的安全防护与权限管理
最新发布
AI天才研究院
05-17 1049
随着企业数据量从TB级向EB级跃迁,数据仓库(如Hive、Spark SQL、AWS Redshift)已成为支撑BI分析、AI训练的核心基础设施。然而,大数据环境的分布式特性(多节点、跨集群)、数据多样性(结构化/非结构化)及用户角色复杂性(分析师、业务方、第三方),使得传统数据库的安全防护体系(如简单角色权限)难以应对。本文聚焦大数据环境下数据仓库的安全防护与权限管理,覆盖从数据静态存储到动态使用的全流程安全控制,旨在为企业提供可落地的技术方案。
Ranger API与Kerberos认证:集成方法与安全性深度剖析
随着大数据生态系统的快速发展,Ranger API与Kerberos集成成为提升数据安全和权限管理的关键技术。本文首先概述了Ranger API与Kerberos认证的基本原理和架构,然后详细介绍了集成过程中的配置要点和集成步骤。文章...
Sentry与Ranger:CDH6.x平台的权限管理与安全实践
本文旨在介绍CDH6.x平台中的权限管理工具,并深入分析其中的两个主要工具:Sentry和Ranger。通过对比和实践应用,总结出它们的优缺点,为CDH6.x平台的权限管理提供指导和参考。同时,本文也旨在
大数据安全管理框架 Ranger 原理介绍
热门推荐
u013332124的专栏
01-12 1万+
文章目录一、Ranger是什么二、Ranger的权限模型三、Ranger架构Ranger-adminPluginHive Plugin 授权流程四、一些思考1. 关于组件策略的缓存2. 插件类加载器的实现Java中的类加载器双亲委派类加载机制:五、总结 一、Ranger是什么 ranger大数据领域的一个集中式安全管理框架,它可以对诸如hdfs、hive、kafka、storm等组件进行细粒度的权...
Ranger中对hive添加policy字后,hive登录用户可用,hive密码不管用的问题解决,HiveServer2 Authentication Custom的编写
涂作权的博客
05-14 2129
1、Ranger中对Hive的库、表、列进行授权 在做Hive的访问权限控制的时候,Ranger中对hive中添加了如下Policy权限控制。配置方式如下: 2、默认情况下,Ambari中hiveserver2的HiveServer2 Authentication默认是None,如下: 所以发现在服务器上进行访问hive的时候(类似:hive -n userName -p pwd),发现pwd随便写,都可以进入hive中。这个显然是有问题的。 为了解决上面的问题,这里,我们自己定义HiveServer2
ranger插件的鉴权原理
hncscwc的博客
10-11 3150
ranger插件开发的上下两篇文章介绍了如何在ranger中支持一个新的服务,并开发对应的客户端插件。但知其然还要知其所以然,简单的几个接口调用的背后,其内部最终是如何进行权限校验的。本文...
Ranger policies中Deny-conditions 和excludes介绍
TBSOD的博客
05-07 1306
1简介 Apache Ranger为Enterprise Hadoop生态系统提供集中安全性,包括细粒度访问控制和集中审计。当前版本的Apache Ranger,0.5支持授权策略,允许在满足指定条件时访问资源 - 条件包括用户/组,访问类型和自定义条件。但是,该模型不支持可以明确拒绝访问资源的策略。此外,该模型不支持允许(或拒绝)访问更广泛的组(如员工,每个人)的策略,但不包括可能属于更广泛组...
权限管理-Ranger介绍和使用(集成Hive)
迷雾总会解
06-15 8336
Apache Ranger是一个Hadoop平台上的全方位数据安全管理框架,它可以为整个Hadoop生态系统提供全面的安全管理。随着企业业务的拓展,企业可能在多用户环境中运行多个工作任务,这就需要一个可以对安全策略进行集中管理,配置和监控用户访问的框架。Ranger由此产生!Ranger的官网:https://ranger.apache.org/RangerUsersync作为Ranger提供的一个管理模块,可以将Linux机器上的用户和组信息同步到RangerAdmin的数据库中进行管理。
Ranger用户手册、登录系统、退出系统、添加服务、编辑服务、Ranger策略、HDFS策略、HIVE策略、HBASE策略
涂作权的博客
06-03 3958
26.5.2登录系统 26.5.3退出系统 26.5.4 Service Manager(Access Manager) 26.5.4.1添加服务 26.5.4.2HDFS 26.5.4.3 HBASE 26.5.4.4Hive 26.5.4.5YARN 26.5.4.6 STORM 26.5.4.7 KAFKA 26.5.4.8 KYLIN 26.5.4.9 SQOOP 26.5.4.10编辑服务 26.5.4.11删除服务 26.5.5 Ranger策略(Ranger Policies) 26.5.5
【转载】Ranger用户手册
Puppet__的博客
09-30 2069
原作者to.to: 原文链接:https://blog.youkuaiyun.com/Happy_Sunshine_Boy/article/details/94560240 26.5.2登录系统 26.5.3退出系统 26.5.4 Service Manager(Access Manager)
Ranger之配置高级授权设置(九)
m0_48187193的博客
03-16 1922
配置高级授权设置 配置身份验证时,如何自定义管理员高级设置。 开发自定义授权模块 在Hadoop生态系统中,每个组件(如Hive、HBase)都有自己的授权实现,并能够插入定制的授权模块。要为组件实现集中授权和审计特性,组件应该支持可定制(或可插入)授权模块。 自定义组件授权插件应该做以下事情: •根据策略管理工具中定义的策略提供授权 •根据实现自定义组件授权的授权决策提供审计信息 为了实现自定义组件授权插件,Ranger通用代理框架提供了以下功能: •能够从服务管理器读取给定服务id的所有策略 •能够记
Ranger admin web 模块分析之policy查询缓存
有问题的请私信或关注v【技术印记】留言
06-29 1345
文章目录ranger admin web 模块分析之policy查询缓存admin web模块RangerServicePoliciesCache类详解ServiceREST.getServicePoliciesIfUpdated详解isValidateHttpsAuthentication方法体getServicePoliciesIfUpdated(String serviceName, Long lastKnownVersion)方法体ranger-hdfs-plugin ranger admin we
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值