Ranger服务提供了集中式的权限管理框架,可以对各类组件进行细粒度的权限访问控制,并可以通过Web UI进行在线操作。
从集群管理页面进入Ranger UI
通过TBDS Manager的集群管理页面,进入公共集群找到对应的ranger服务,并访问WebUI的地址。
以管理员账号登录Ranger
使用管理员账号登录,管理员账号为root,密码为创建集群时填写的集群密码。
登录后在Ranger首页的“Service Manager”区域内,单击组件名称下的权限插件名称,即可进入组件安全访问策略列表页面。
添加授权策略
进入到需要授权的组件服务后,点击“Add New Policy”,填写对应组件的权限策略后保存,即可完成授权。
创建HDFS策略
进入hdfs组件的service页面,添加策略。
| 参数名称 | 描述 |
|---|---|
| Policy Name | 策略名称 |
| Policy Label | 策略标签 |
| Resource Path | hdfs资源路径,可填写多个值,支持通配符"*" 并且可以设置是否递归,如果开启,则同时子目录也配置该策略 non-recursive: 关闭递归 recursive: 开启递归 |
| Description | 策略描述 |
| Audit Logging | 是否审计此策略 |
| Allow Conditions | 策略允许条件设置,并通过"+"号进行添加 Select Role: 授予的角色 Select Group: 授予的用户组 Select User: 授予的用户 Permission: 授权策略 Read(读权限)、Write(写权限)、Execute(执行权限)、Select/Deselect All(全选/取消全选) Delegate Admin: 是否让这些用户或用户组能够管理该条策略 Exclude from Allow Conditions:配置排除在允许条件之外的例外规则。 |
| Deny All Other Access | 是否拒绝其它所有访问。 True:拒绝其它所有访问。 False:设置为false,可配置Deny Conditions。 |
| Deny Conditions | 策略拒绝条件设置,配置方法与"Allow Conditions"相同,此条件的优先级将高于"Allow Conditions"设置的条件 Exclude from Deny Conditions:配置排除在拒绝条件之外的例外规则。 |
创建YARN策略
进入YARN组件service,添加策略。
| 参数名称 | 描述 |
|---|---|
| Policy Name | 策略名称 |
| Policy Label | 策略标签 |
| Queue | YARN资源队列,可填写多个值,支持通配符"*" 并且可以设置是否递归,如果开启,则同时子队列也配置该策略 non-recursive: 关闭递归 recursive: 开启递归 |
| Description | 策略描述 |
| Audit Logging | 是否审计此策略 |
| Allow Conditions | 策略允许条件设置,并通过"+"号进行添加 Select Role: 授予的角色 Select Group: 授予的用户组 Select User: 授予的用户 Permission: 授权策略 submit-app(提交队列任务权限)、admin-queue(管理队列任务权限)、Select/Deselect All(全选/取消全选) Delegate Admin: 是否让这些用户或用户组能够管理该条策略 Exclude from Allow Conditions:配置排除在允许条件之外的例外规则。 |
| Deny All Other Access | 是否拒绝其它所有访问。 True:拒绝其它所有访问。 False:设置为false,可配置Deny Conditions。 |
| Deny Conditions | 策略拒绝条件设置,配置方法与"Allow Conditions"相同,此条件的优先级将高于"Allow Conditions"设置的条件 Exclude from Deny Conditions:配置排除在拒绝条件之外的例外规则。 |
创建HBase策略
进入HBase组件service,添加策略。
| 参数名称 | 描述 |
|---|---|
| Policy Name | 策略名称 |
| Policy Label | 策略标签 |
| HBase Table | 适用该策略的HBase表,支持通配符"*" “Include”策略适用于当前输入的对象,“Exclude”表示策略适用于除去当前输入内容之外的其他对象 |
| HBase Column-family | 适用该策略的HBase列族,支持通配符"*" “Include”策略适用于当前输入的对象,“Exclude”表示策略适用于除去当前输入内容之外的其他对象 |
| HBase Column | 适用该策略的HBase列,支持通配符"*" “Include”策略适用于当前输入的对象,“Exclude”表示策略适用于除去当前输入内容之外的其他对象 |
| Description | 策略描述 |
| Audit Logging | 是否审计此策略 |
| Allow Conditions | 策略允许条件设置,并通过"+"号进行添加 Select Role: 授予的角色 Select Group: 授予的用户组 Select User: 授予的用户 Permission: 授权策略 Read(读权限)、Write(写权限)、Create(创建权限)、Admin(管理权限)、Select/Deselect All(全选/取消全选) Delegate Admin: 是否让这些用户或用户组能够管理该条策略 Exclude from Allow Conditions:配置排除在允许条件之外的例外规则。 |
| Deny All Other Access | 是否拒绝其它所有访问。 True:拒绝其它所有访问。 False:设置为false,可配置Deny Conditions。 |
| Deny Conditions | 策略拒绝条件设置,配置方法与"Allow Conditions"相同,此条件的优先级将高于"Allow Conditions"设置的条件 Exclude from Deny Conditions:配置排除在拒绝条件之外的例外规则。 |
创建Hive策略
进入hive组件service,添加策略。
| 参数名称 | 描述 |
|---|---|
| Policy Name | 策略名称 |
| Policy Label | 策略标签 |
| database | 适用该策略的Hive数据库名称 “Include”策略适用于当前输入的对象,“Exclude”表示策略适用于除去当前输入内容之外的其他对象。 |
| table | 适用该策略的Hive表名称 “Include”策略适用于当前输入的对象,“Exclude”表示策略适用于除去当前输入内容之外的其他对象。 |
| column | 适用该策略的Hive列名 “Include”策略适用于当前输入的对象,“Exclude”表示策略适用于除去当前输入内容之外的其他对象。 |
| Description | 策略描述 |
| Audit Logging | 是否审计此策略 |
| Allow Conditions | 策略允许条件设置,并通过"+"号进行添加 Select Role: 授予的角色 Select Group: 授予的用户组 Select User: 授予的用户 Permission: 授权策略 Select(查询权限)、Update(更新权限)、Create(创建权限)、Drop(drop操作权限)、Alter(alter操作权限)、Index(索引操作权限)、Lock(lock操作权限)、All(所有执行权限)、Read(只读权限)、Write(写权限)、ReplAdmin(ReplAdmin权限)、Service Admin(Service Admin权限)、Temporary UDF Admin(临时UDF管理权限)、Refresh(刷新权限)、Select/Deselect All(全选/取消全选) Delegate Admin: 是否让这些用户或用户组能够管理该条策略 Exclude from Allow Conditions:配置排除在允许条件之外的例外规则。 |
| Deny All Other Access | 是否拒绝其它所有访问。 True:拒绝其它所有访问。 False:设置为false,可配置Deny Conditions。 |
| Deny Conditions | 策略拒绝条件设置,配置方法与"Allow Conditions"相同,此条件的优先级将高于"Allow Conditions"设置的条件 Exclude from Deny Conditions:配置排除在拒绝条件之外的例外规则。 |
创建Kafka策略
进入kafka组件service,添加策略。
| 参数名称 | 描述 |
|---|---|
| Policy Name | 策略名称 |
| Policy Label | 策略标签 |
| topic | topic名,支持通配符 “Include”策略适用于当前输入的对象,“Exclude”表示策略适用于除去当前输入内容之外的其他对象。 |
| Description | 策略描述 |
| Audit Logging | 是否审计此策略 |
| Allow Conditions | 策略允许条件设置,并通过"+"号进行添加 Select Role: 授予的角色 Select Group: 授予的用户组 Select User: 授予的用户 Permission: 授权策略 Publish(生产权限)、Consume(消费权限)、Describe(查询权限)、Create(创建主题权限)、Delete(删除主题权限)、Describe Configs(查询配置权限)、Alter(修改topic的权限)、Alter Configs(修改配置权限)、Select/Deselect All(全选/取消全选) Delegate Admin: 是否让这些用户或用户组能够管理该条策略 Exclude from Allow Conditions:配置排除在允许条件之外的例外规则。 |
| Deny All Other Access | 是否拒绝其它所有访问。 True:拒绝其它所有访问。 False:设置为false,可配置Deny Conditions。 |
| Deny Conditions | 策略拒绝条件设置,配置方法与"Allow Conditions"相同,此条件的优先级将高于"Allow Conditions"设置的条件 Exclude from Deny Conditions:配置排除在拒绝条件之外的例外规则。 |
创建Trino策略
进入trino组件service,添加策略。
| 参数名称 | 描述 |
|---|---|
| Policy Name | 策略名称 |
| Policy Label | 策略标签 |
| catalog | catalog名 “Include”策略适用于当前输入的对象,“Exclude”表示策略适用于除去当前输入内容之外的其他对象。 |
| schema | schema名 “Include”策略适用于当前输入的对象,“Exclude”表示策略适用于除去当前输入内容之外的其他对象。 |
| table | table名 “Include”策略适用于当前输入的对象,“Exclude”表示策略适用于除去当前输入内容之外的其他对象。 |
| column | column名 “Include”策略适用于当前输入的对象,“Exclude”表示策略适用于除去当前输入内容之外的其他对象。 |
| Description | 策略描述 |
| Audit Logging | 是否审计此策略 |
| Allow Conditions | 策略允许条件设置,并通过"+"号进行添加 Select Role: 授予的角色 Select Group: 授予的用户组 Select User: 授予的用户 Permission: 授权策略 Select(查询权限)、Insert(插入权限)、Create(创建权限)、Drop(drop操作权限)、Delete(删除权限)、Use(use操作权限)、Alter(修改权限)、 Grant(grant操作权限)、Revoke(revoke操作权限)、Show(show操作权限)、Impersonate(impersonate操作权限)、All(全部权限)、execute(执行权限)、Select/Deselect All(全选/取消全选) Delegate Admin: 是否让这些用户或用户组能够管理该条策略 Exclude from Allow Conditions:配置排除在允许条件之外的例外规则。 |
| Deny All Other Access | 是否拒绝其它所有访问。 True:拒绝其它所有访问。 False:设置为false,可配置Deny Conditions。 |
| Deny Conditions | 策略拒绝条件设置,配置方法与"Allow Conditions"相同,此条件的优先级将高于"Allow Conditions"设置的条件 Exclude from Deny Conditions:配置排除在拒绝条件之外的例外规则。 |
创建KMS密钥
在Ranger UI界面,使用keyadmin账号登录,密码为keyadmin。
点击Encryption按钮,选择kmsdev服务,可以查看当前密钥列表。
点击Add New Key可以新增密钥
创建KMS策略
进入KMS组件service,添加策略。
| 参数名称 | 描述 |
|---|---|
| Policy Name | 策略名称 |
| Policy Label | 策略标签 |
| Key Name | 密钥名称,可填写多个值,支持通配符"*" |
| Description | 策略描述 |
| Audit Logging | 是否审计此策略 |
| Allow Conditions | 允许策略,可以对选择的用户、用户组或者角色配置相应的权限。包括: Create:创建Key Delete:删除key Rollover:更新key Set Key Material:设置密钥密文 Get:读取某个key Get keys:读取所有key (策略中配置的key) Get Metadata:获取key的元信息 Generate EEK:生成EEK Decrypt EEK:解密EEK Exclude from Allow Conditions:配置允许条件之外的例外规则。 |
| Deny All Other Access | 是否拒绝其它所有访问。 True:拒绝其它所有访问。 False:设置为false,可配置Deny Conditions。 |
| Deny Conditions | 策略拒绝条件设置,配置方法与"Allow Conditions"相同,此条件的优先级将高于"Allow Conditions"设置的条件 Exclude from Deny Conditions:配置排除在拒绝条件之外的例外规则。 |