基于角色的ApacheSentry權(quán)限設(shè)置

主講：侯磊基于角色的ApacheSentry權(quán)限設(shè)置目錄0102了解ApacheSentryApacheSentry的概念及策略了解ApacheSentry1了解ApacheSentryHadoop集群中有許多服務(wù)，列表隨著時(shí)間增長(zhǎng)。從長(zhǎng)遠(yuǎn)來(lái)看，在組件級(jí)配置，根本無(wú)法跟上服務(wù)級(jí)授權(quán)的配置和管理。幸運(yùn)的是有ApacheSentry來(lái)?yè)尵?ApacheSentry為存儲(chǔ)在HDFS中的數(shù)據(jù)提供了細(xì)粒度的基于角色的授權(quán)。Sentry為HDFS數(shù)據(jù)提供基于角色的授權(quán)控制(RBAC)。Sentry目前可以與Hive和Impala集成在一起。了解ApacheSentry雖然HDFS授權(quán)方案和使用ACL的服務(wù)級(jí)授權(quán)確實(shí)在Hadoop用戶(hù)授權(quán)方面起著至關(guān)重要的作用，但是在Hadoop中確實(shí)沒(méi)有總體授權(quán)系統(tǒng)。ApacheSentry力圖為Hadoop環(huán)境提供統(tǒng)一的授權(quán)方式，從而Hadoop管理員可以準(zhǔn)確指定用戶(hù)在Hadoop系統(tǒng)中可以執(zhí)行的操作。Sentry的基于角色的訪(fǎng)問(wèn)系統(tǒng)使管理員能夠在細(xì)粒度級(jí)別控制用戶(hù)訪(fǎng)問(wèn)。為了在集群中設(shè)置細(xì)粒度授權(quán)，必須對(duì)數(shù)據(jù)進(jìn)行分類(lèi)，并指定需要訪(fǎng)問(wèn)特定數(shù)據(jù)集的用戶(hù)及所需的訪(fǎng)問(wèn)級(jí)別。可以綜合使用Hive和Sentry來(lái)指定細(xì)粒度的授權(quán)。ApacheSentry的概念及策略2ApacheSentry的概念及策略Sentry使用幾種類(lèi)型的特權(quán)模型來(lái)做出授權(quán)決定。它將SQL模型應(yīng)用于Hive,將Bigtable模型應(yīng)用于HBase和Accumulo。Hadoop組件(如Hive和HBase)使用Sentry綁定將授權(quán)決定委托給Sentry。Sentry綁定可用于確定授權(quán)的模型。ApacheSentry的概念及策略當(dāng)用戶(hù)希望執(zhí)行諸如讀文件的操作時(shí)，Sentry依賴(lài)用戶(hù)、組和特權(quán)來(lái)授權(quán)用戶(hù)請(qǐng)求：用戶(hù)指的是可以訪(fǎng)問(wèn)Hadoop組件(如Hive或HBase)的任何用戶(hù)。組指的是一組具有相似需求和特權(quán)的用戶(hù)。Sentry上下文中的特權(quán)由兩個(gè)組件組成：對(duì)象和用戶(hù)想要對(duì)該對(duì)象執(zhí)行的動(dòng)作。例如，一個(gè)對(duì)象可以是一個(gè)數(shù)據(jù)庫(kù)，動(dòng)作可以是一個(gè)讀或?qū)懖僮?。ApacheSentry的概念及策略定義需要訪(fǎng)問(wèn)特定數(shù)據(jù)部分的邏輯組后，可以設(shè)計(jì)角色來(lái)定義細(xì)粒度的授權(quán)策略，每個(gè)角色指定一組權(quán)限。然后，可以將角色分配給組。Sentry根據(jù)配置的授權(quán)策略來(lái)授權(quán)。兩個(gè)實(shí)體(一個(gè)策略提供者和一個(gè)策略引擎)共同做出授權(quán)決策：策略提供者將授權(quán)策略存儲(chǔ)在文本文件或數(shù)據(jù)庫(kù)中。Sentry使用策略引擎檢查策略提供者以確定用戶(hù)請(qǐng)求的動(dòng)作是否被授權(quán)。ApacheSentry的概念及策略Sentry不會(huì)直接向用戶(hù)授予權(quán)限。相反，它將一組權(quán)限定義為-一個(gè)角色。因此，可以將角色視為一組權(quán)限，例如“管理員”或“分析員”角色。用戶(hù)被分配到組，并且角色總是被分配給組，而不是用戶(hù)。關(guān)于Sentry角色、權(quán)限和組，需要了解以下幾點(diǎn)：角色被授予權(quán)限。用戶(hù)屬于一個(gè)組。Apac