基于角色的ApacheSentry權(quán)限設(shè)置

主講：侯磊基于角色的ApacheSentry權(quán)限設(shè)置目錄0102了解ApacheSentryApacheSentry的概念及策略了解ApacheSentry1了解ApacheSentryHadoop集群中有許多服務(wù)，列表隨著時間增長。從長遠(yuǎn)來看，在組件級配置，根本無法跟上服務(wù)級授權(quán)的配置和管理。幸運(yùn)的是有ApacheSentry來搶救!ApacheSentry為存儲在HDFS中的數(shù)據(jù)提供了細(xì)粒度的基于角色的授權(quán)。Sentry為HDFS數(shù)據(jù)提供基于角色的授權(quán)控制(RBAC)。Sentry目前可以與Hive和Impala集成在一起。了解ApacheSentry雖然HDFS授權(quán)方案和使用ACL的服務(wù)級授權(quán)確實(shí)在Hadoop用戶授權(quán)方面起著至關(guān)重要的作用，但是在Hadoop中確實(shí)沒有總體授權(quán)系統(tǒng)。ApacheSentry力圖為Hadoop環(huán)境提供統(tǒng)一的授權(quán)方式，從而Hadoop管理員可以準(zhǔn)確指定用戶在Hadoop系統(tǒng)中可以執(zhí)行的操作。Sentry的基于角色的訪問系統(tǒng)使管理員能夠在細(xì)粒度級別控制用戶訪問。為了在集群中設(shè)置細(xì)粒度授權(quán)，必須對數(shù)據(jù)進(jìn)行分類，并指定需要訪問特定數(shù)據(jù)集的用戶及所需的訪問級別。可以綜合使用Hive和Sentry來指定細(xì)粒度的授權(quán)。ApacheSentry的概念及策略2ApacheSentry的概念及策略Sentry使用幾種類型的特權(quán)模型來做出授權(quán)決定。它將SQL模型應(yīng)用于Hive,將Bigtable模型應(yīng)用于HBase和Accumulo。Hadoop組件(如Hive和HBase)使用Sentry綁定將授權(quán)決定委托給Sentry。Sentry綁定可用于確定授權(quán)的模型。ApacheSentry的概念及策略當(dāng)用戶希望執(zhí)行諸如讀文件的操作時，Sentry依賴用戶、組和特權(quán)來授權(quán)用戶請求：用戶指的是可以訪問Hadoop組件(如Hive或HBase)的任何用戶。組指的是一組具有相似需求和特權(quán)的用戶。Sentry上下文中的特權(quán)由兩個組件組成：對象和用戶想要對該對象執(zhí)行的動作。例如，一個對象可以是一個數(shù)據(jù)庫，動作可以是一個讀或?qū)懖僮鳌pacheSentry的概念及策略定義需要訪問特定數(shù)據(jù)部分的邏輯組后，可以設(shè)計角色來定義細(xì)粒度的授權(quán)策略，每個角色指定一組權(quán)限。然后，可以將角色分配給組。Sentry根據(jù)配置的授權(quán)策略來授權(quán)。兩個實(shí)體(一個策略提供者和一個策略引擎)共同做出授權(quán)決策：策略提供者將授權(quán)策略存儲在文本文件或數(shù)據(jù)庫中。Sentry使用策略引擎檢查策略提供者以確定用戶請求的動作是否被授權(quán)。ApacheSentry的概念及策略Sentry不會直接向用戶授予權(quán)限。相反，它將一組權(quán)限定義為-一個角色。因此，可以將角色視為一組權(quán)限，例如“管理員”或“分析員”角色。用戶被分配到組，并且角色總是被分配給組，而不是用戶。關(guān)于Sentry角色、權(quán)限和組，需要了解以下幾點(diǎn)：角色被授予權(quán)限。用戶屬于一個組。Apac