為Hadoop數據細粒度的、基于角色的認證功能:Apache Sentry
Apache Sentry 是一個高度模塊化的系統。它為存儲在Apache Hadoop集群中的數據和元數據提供了細粒度的、基于角色的認證功能。
Hadoop生態圈中的項目有著各自不同的、需要單獨配置的認證系統。Hadoop的靈活性使得生態圈中不同的項目(如Hive、Solr、 MapReduce,Pig)能訪問相同的數據。由于每個項目的認證配置都是獨立的,管理員很可能在企圖保證策略一致的情況下得到不一致的、相重疊的策略。
Sentry提供了一套集中的策略。這套策略能被應用于許多不同的訪問途徑。通過這個方法,Sentry解決了這個IT管理和安全上的挑戰。因此,IT管理員能夠對數據集進行權限設置。并且知道無論通過何種途徑訪問數據,這些權限控制都會得到一致地執行。
Sentry的技術細節:
Sentry通過一組特權,如SELECT和INSERT,控制著對Hive Metastore中每個schema對象的訪問。schema對象是數據管理中常見的實體,例如SERVER、DATABASE、TABLE、 COLUMN和URI,也就是HDFS中文件的位置。Cloudera Search有它自己的一組特權(如QUERY)和對象(如COLLECTION)。
和IT團隊已經熟悉的其他RBAC系統一樣,Sentry提供了:
- 有層次結構的對象,自動地從上層對象繼承權限;
- 包含了一組多個對象/權限對的規則;
- 用戶組可以被授予一個或多個角色;
- 用戶可以被指定到一個或多個用戶組中。
Sentry通常被配制成默認不允許訪問服務和數據。因此,在被劃分到設有指定訪問角色的用戶組之前,用戶只有有限的權限訪問系統。
本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!