hive权限控制

最新推荐文章于 2025-05-05 18:09:53 发布
原创 最新推荐文章于 2025-05-05 18:09:53 发布 · 6.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hive 权限控制

本文介绍了在Hive中进行权限控制的方法,包括创建角色、给用户和角色授权、删除权限,以及配置Hive的权限相关参数。通过启用权限、设置权限工厂和使用自定义的权限钩子程序来实现精细的权限管理。

 

 建议操作方式

因为权限中涉及的用户和组都是Linux的,不可控。建议使用角色,用户可以放置在角色中同时可以为角色进行授权。具体步骤如下:

1.创建角色

create role testrole;

2.给角色授权

grant select on database default to  role  admin;

3.给角色添加用户

grant role testrole to user userA;

 

 常用命令查询...

 

1.给用户授权

基于数据库

grant select on database default to useradmin;

基于某张表:

grant select on table ppdata to user admin;

 

2.给组授权

基于数据库:

grant select on database default to  group  admin;

基于某张表

grant select on table ppdata  to  group  admin;

 

3.给角色授权

基于数据库:

grant select on database default to  role  admin;

基于某张表

grant select on table ppdata to role  admin;

 

4.创建角色

create role testrole;

 

5.给用户添加角色

grant role testrole to user userA;

 

6.给用户移除权限

基于数据库:

revoke select on database default from useruserB;

基于某张表

revoke select on table ppdata from useruserB;

 

权限说明

名称

描述

ALL

赋予所有的权限

ALTER

有修改表结构的权限

CREATE

有创建表的权限

DROP

有删除表或表中的分区的权限

LOCK

开启并发后,锁定和解锁定表的权限

SELECT

查询表或者分区中数据的权限

SHOW_DATABASE

查看所有数据库的权限

UPDATE

向表或者分区中插入或加载数据的权限

 

 

 

权限配置过程

 

权限配置

1.在hive-site.xml中进行配置:

<property> 
<name>hive.security.authorization.enabled</name> 
<value>true</value> 
 <description>enable or disable thehive client authorization</description> 
 </property> 

功能:开启权限。


<property> 
 <name>hive.security.authorization.createtable.owner.grants</name> 
 <value>ALL</value> 
 <description>the privileges automaticallygranted to the owner whenever a table gets created. An example like"select,drop" will grant select and drop privilege to the owner ofthe table</description>
</property>

功能:表的创建者对表拥有所有权限。

 

<property>

<name>hive.security.authorization.task.factory</name>

<value>org.apache.hadoop.hive.ql.parse.authorization.HiveAuthorizationTaskFactoryImpl</value>

</property>

进行权限控制的配置。

 

此处错误总结:

报错:The current builtin authorization in Hive isincomplete and disabled.

类结构:


错误分析:

1.根据报错“The current builtin authorization in Hive is incomplete anddisabled.”,找到org.apache.hadoop.hive.ql.parse.authorization. RestrictedHiveAuthorizationTaskFactoryImpl

2.发现在做权限处理时候,这个类针对任何操作(指对hive中的sql语句做权限处理)都报错。

3.排查到org.apache.hadoop.hive.ql.parse.authorization. HiveAuthorizationTaskFactoryFactory类中进行参数配置getClass(HiveConf.ConfVars.HIVE_AUTHORIZATION_TASK_FACTORY.varname,

           HiveAuthorizationTaskFactoryImpl.class,

           HiveAuthorizationTaskFactory.class);

 

4.查看HIVE_AUTHORIZATION_TASK_FACTORY的配置:HIVE_AUTHORIZATION_TASK_FACTORY("hive.security.authorization.task.factory",

       "org.apache.hadoop.hive.ql.parse.authorization.RestrictedHiveAuthorizationTaskFactoryImpl"),

默认的就是那个全部进行报错处理的类。

5.根据RestrictedHiveAuthorizationTaskFactoryImpl实现HiveAuthorizationTaskFactory类,找到一样实现此类的抽象类:AbstractHiveAuthorizationTaskFactory,最后找到继承此抽象类的HiveAuthorizationTaskFactoryImpl,进行配置即可。

 

 

 

使用钩子程序,识别超级管理员,进行授权控制。

<property>

<name>hive.semantic.analyzer.hook</name>

<value>com.myHook.MyAuthHook</value>

</property>

 

涉及的Java代码:

package com.myHook;

 

 

import org.apache.hadoop.hive.ql.parse.ASTNode;

import org.apache.hadoop.hive.ql.parse.AbstractSemanticAnalyzerHook;

import org.apache.hadoop.hive.ql.parse.HiveParser;

import org.apache.hadoop.hive.ql.parse.HiveSemanticAnalyzerHookContext;

import org.apache.hadoop.hive.ql.parse.SemanticException;

import org.apache.hadoop.hive.ql.session.SessionState;

 

public classMyAuthHook extendsAbstractSemanticAnalyzerHook {

   private static String admin = "admin";

 

   @Override

   public ASTNodepreAnalyze(HiveSemanticAnalyzerHookContext context,

         ASTNodeast)throwsSemanticException {

      switch (ast.getToken().getType()) {

      case HiveParser.TOK_CREATEDATABASE:

      case HiveParser.TOK_DROPDATABASE:

      case HiveParser.TOK_CREATEROLE:

      case HiveParser.TOK_DROPROLE:

      case HiveParser.TOK_GRANT:

      case HiveParser.TOK_REVOKE:

      case HiveParser.TOK_REVOKE_ROLE:

      case HiveParser.TOK_GRANT_ROLE:

      case HiveParser.TOK_IMPORT:

      case HiveParser.TOK_SHOW_ROLES:

         StringuserName= null;

         if (SessionState.get()!= null

                &&SessionState.get().getAuthenticator()!= null){

            userName = SessionState.get().getAuthenticator().getUserName();

           

         }

         if (!admin.equalsIgnoreCase(userName)) {

            throw new SemanticException(userName

                   +" can't use ADMIN options, except" + admin + ".");

         }

         break;

      default:

         break;

      }

 

      return ast;

   }

}

之后把此类达成jar包,放到hive的lib目录下。

 

此处错误总结:

错误:此类没有起作用。

 

1.如何验证是否调用了此类?

方法:故意写错类名称,当在hive中写sql语句的时候,会报找不到类,说明这个类可以被调到。

 

错误原因:hive 0.13.1和0.12.0版本中ast.getToken().getType()的数值和HiveParser中对应的值不对应所致。

 

解决方法:在Java代码中添加System.out.print(ast.getToken().getType());这样在hive中执行sql语句的时候,会打印出具体的类型的数值。根据数值在HiveParser类中找到对应的属性名称(例如:public static final int TOK_TABCOLVALUE = 793;),添加到钩子程序中。

 

 

 

 

 

 

 

 

wangyijie0219
关注
【精华】Linux用户Hive权限控制实践
医疗影像检索
05-11 3708
1、困惑:    hadoop和hive通过客户机接入到集群生产,客户机是linux系统,那么linux用户和hive角色之间是什么关系呢?    或者说,怎么控制linux系统用户可以细粒度访问hive的数据库和表。 2、新建linux用户和用户组    1)#groupadd hphs;    2)#useradd -d /home/hphs/ -m hphs -g hphs
基于Sentry和Hue实现Hive权限控制(非认证情况)
weixin_33022765的博客
03-14 1263
基于Sentry和Hue实现Hive权限控制(非认证情况) 目录基于Sentry和Hue实现Hive权限控制(非认证情况)1 写在前面2 安装Sentry服务2.1 创建数据库2.2 添加Sentry服务3 Hive/Hue服务与Sentry集成3.1 Hive配置3.2 Hue配置4 配置Hive权限5 Sentry权限验证测试6 参考文档 1 写在前面 Sentry组件由Clodera公司提供的安全授权管理工具。我们可以使用该组件实现hive的分租户权限管理。 在此之前,需要明确:CDH平台中的安全,认
Hive权限设置说明
07-17
CDH平台,通过hue访问hive,控制库级别,表级别,及列级别的访问权限
hive开启权限后不能创建数据库问题
03-18
背景:由于Hive需要开启权限管理,安装网上教程,开启权限配置,重启集群后。 使用root用户登录,进入Hive命令行界面。 执行 create database test; 发现报错: Authorization failed:No privilege 'Create' found for outputs { }. Use SHOW GRANT to get more details
CDH5.8.4-hive的库表权限控制
SimpleSimpleSimples的博客
01-29 1894
1.查看hive的角色 hive> show roles; FAILED: SemanticException The current builtin authorization in Hive is incomplete and disabled. hive> set hive.security.authorization.task.factory = org.apache.had...
Hive 权限控制
09-05 1710
Hive 权限控制 字数1135 阅读551 评论0 喜欢0 说明 认证(authentication):验证用户所用的身份是否是对的授权(authorization):验证用户所用身份操作是否有权限 目前hive(版本0.12.0)支持简单的权限管理,默认情况下是不开启,这样所有的用户都具有相同的权限,同时也是超级管理员,也就对hive中的所有表都有查看和改动的权利,
【常用操作】Hive权限控制
Together
08-29 1784
说明 认证(authentication):验证用户所用的身份是否是对的 授权(authorization):验证用户所用身份操作是否有权限 目前hive(版本0.12.0)支持简单的权限管理,默认情况下是不开启,这样所有的用户都具有相同的权限,同时也是超级管理员,也就对hive中的所有表都有查看和改动的权利,这样是不符合一般数据仓库的安全原则的。Hive可以是基于元数据的权限管理,也可以基于文件存储级别的权限管理,此次以介绍MetaData权限管理为主。通过以下配置开启Hive身份认证功能进行
CDH的Hive权限控制
weixin_43025027的博客
05-12 3976
CDH的Hive权限控制
Hive入门】Hive安全管理与权限控制:用户认证与权限管理深度解析
IT成长日记的博客
05-05 1508
Hive的安全管理是一个系统工程,需要从认证、授权、审计三个维度进行综合设计。Kerberos提供了强大的认证机制,而LDAP则便于用户集中管理。在实际部署中,企业应根据自身的安全需求和IT基础设施,选择合适的认证方案,并结合细粒度的权限控制模型,构建全方位的数据安全防护体系。
探索Hive用户权限(一):用户及库表权限
changlina_1989的博客
07-23 7163
文章目录 前言 本文主要论述hive的用户及表安全配置,涉及到点主要有:hive的用户授权机制、hive安全配置、hive用户与linux用户关系以及通过代码实现特定用户登录客户端对hive集群的库表进行授权的操作。 一、hive用户授权机制 大家知道hive把元数据存储在metastore数据库中,一般都是mysql库中。metastore库中主要存储hive的库、表、分区、用户、角色等信息。比如:db_privs:记录了用户/角色在库上的权限,tbl_privs:记录了用户/角色在g...
Hive多用户权限
Joseph25的博客
03-12 1539
HIVE多用户权限 当多个用户共同使用hive时,需要对不同角色做不同的权限控制权限控制主要指底层的hdfs文件操作控制和hive自身对表的授权管理。hive是通过mysql的元数据来控制hive里的权限。 Hive授权的核心是:user,group,role。 User:是基于linux用户的user,哪个linux用户使用hive客户端,那个linux用户就是该hiv...
Hive谓词解析过程分析
weixin_33966365的博客
06-20 697
where col1 = 100 and abs(col2) > 0在Hive中的处理过程 where过滤条件称为谓词predicate。 以上where过滤条件在经过Hive的语法解析后,生成如下的语法树: TOK_WHERE AND ...
基于CDH5.x的Hive权限详细配置
Ganymede的Hadoop世界
10-03 8951
基于CDH5.x的Hive权限详细配置
[Exceptions]hive sql:FAILED: SemanticException 0:0 Expected select produces 1 columns.
software_kid的专栏
06-29 1990
具体运行的sql已经找不到了。看后面的理解,我当时应该是改sql改错了就直接运行了。
Hive访问权限控制
A coder of life
07-18 6441
hive有两种类型的权限控制方式: 一。通过Hcatcalog API访问hive数据的方式,实际是通过访问metastore元数据的形式访问hive数据,这类有MapReduce,impala,pig,Spark SQL,hive Command line等方式,基于这种方式的权限控制称为:Storage Based Authorization in the Metastore Server。...
Hive如何进行权限控制
小道的博客
02-01 1061
Hive如何进行权限控制
Hive 的角色和权限控制
互联网知识分享
08-06 2113
的权限模型中,用户可以拥有多个角色,一个角色可以包含多个用户。管理员可以根据需要创建和管理角色,并为这些角色分配相应的权限。中的角色控制是通过角色的概念来实现的,角色可以理解为一组用户的集合,可以对这个集合中的用户进行权限的管理。用户可以根据自己的需求创建和管理角色,并为这些角色分配相应的权限。中的权限控制是通过授权的方式来实现的,它可以限制用户对数据库、表和列的访问权限。中,角色可以理解为一组用户的集合,权限可以限制用户对数据库、表和列的操作权限。)的,它将用户分为角色,并为每个角色分配相应的权限。
关于 Hive 报 SemanticException 错误的问题
热门推荐
一只特立独行的猪
11-25 2万+
问题描述: hive 创建表时出错 hive> create table student(sid int,sname string); FAILED: SemanticException org.apache.hadoop.hive.ql.metadata.HiveException: java.lang.RuntimeException: Unable to instantiate org...
hive中的权限控制
最新发布
11-27
# Hive中的权限控制详解 Hive提供了多层次的权限控制机制,可以细粒度地管理用户对数据库、表和列的访问权限。以下是Hive权限控制的主要方式: ## 1. 权限模型类型 ### (1) 传统模式(Legacy Mode) - 基于Linux文件系统权限 - 简单但不灵活 ### (2) 标准模式(Standard Mode) - 基于SQL标准的授权(推荐) - 细粒度控制 - 需要配置`hive.security.authorization.enabled=true` ### (3) 存储处理程序授权模式 - 针对特定存储格式的授权 ## 2. 主要权限类型 | 权限 | 说明 | |------|------| | ALL | 所有权限 | | ALTER | 修改表结构 | | CREATE | 创建表/数据库 | | DELETE | 删除数据 | | DROP | 删除表 | | INDEX | 创建索引 | | INSERT | 插入数据 | | LOCK | 锁定表 | | SELECT | 查询数据 | | SHOW_DATABASE | 查看数据库 | | UPDATE | 更新数据 | ## 3. 基本权限管理命令 ```sql -- 启用授权 SET hive.security.authorization.enabled=true; -- 授予数据库权限 GRANT SELECT ON DATABASE mydb TO USER user1; -- 授予表权限 GRANT SELECT, INSERT ON TABLE mytable TO ROLE analyst; -- 授予列权限 GRANT SELECT(column1, column2) ON TABLE mytable TO USER user2; -- 撤销权限 REVOKE INSERT ON TABLE mytable FROM USER user3; -- 查看授予的权限 SHOW GRANT USER user4; SHOW GRANT ON TABLE mytable; ``` ## 4. 基于角色的访问控制(RBAC) ```sql -- 创建角色 CREATE ROLE finance_team; -- 将角色授予用户 GRANT ROLE finance_team TO USER user5; -- 将权限授予角色 GRANT SELECT ON DATABASE finance TO ROLE finance_team; ``` ## 5. 细粒度权限控制 ### (1) 列级权限控制 ```sql GRANT SELECT(dept_id, emp_name) ON TABLE employees TO ROLE hr; ``` ### (2) 行级过滤(Hive 3.0+) ```sql -- 创建行过滤策略 CREATE ROW FILTER myfilter ON TABLE sales ROW FILTER "region = 'east'"; -- 将过滤策略授予用户 GRANT ROW FILTER myfilter TO USER user6; ``` ## 6. 权限管理最佳实践 1. **最小权限原则**:只授予必要的权限 2. **使用角色**:通过角色管理权限,而非直接授予用户 3. **定期审计**:检查并清理不必要的权限 4. **测试环境权限**:区分生产环境和测试环境的权限 5. **敏感数据保护**:对敏感列实施额外保护 ## 7. 配置参数 ```sql -- 启用授权 SET hive.security.authorization.enabled=true; -- 启用自动授权(表创建者自动拥有权限) SET hive.security.authorization.createtable.owner.grants=ALL; -- 启用列级授权 SET hive.security.authorization.extended=true; ``` ## 8. 与HDFS权限的关系 Hive权限控制与HDFS权限相互独立但共同作用: - Hive权限控制元数据和SQL操作权限 - HDFS权限控制底层文件访问 - 需要两者都配置正确才能正常访问数据
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值