Apache Ranger基于Apache Atlas标签的策略
Ranger-Atlas集成将Atlas的数据分类(Tag)与Ranger中的安全策略相结合,可以实现基于分类的、跨组件的权限控制,而无需在每个组件中创建单独的服务和策略。
Ranger配置Tagsync
配置Ranger Tagsync从Atlas中同步Tag。可通过Ambari WebUI=>Ranger配置,如图:
Atlas添加Tag
- 创建如下Tag
- 给Tag
PII
添加如下Entity,结果如下:
注:这里通过Atlas WebUI=>Search=>hive_table/hdfs_path搜索=>添加Tag即可。
Ranger配置基于Tag的策略
创建基于Tag的策略
点击如下atlas_tag
,创建Policy
Tag Service应用到HDFS/Hive
- 编辑
bigdata_cluster_hadoop
,指定Tag Service
,如下:
- 编辑
bigdata_cluster_hive
,指定Tag Service
,如下:
验证
验证Hive
可看到,用户ranger_acl_test已经有了Hive 表fact_sales
读权限。
验证HDFS
可看到,用户ranger_acl_test已经有了HDFS 路径/data/data_warehouse/factSales/
读权限。
基于Atlas Tag,在Ranger中已经实现了,基于分类的、跨组件(这里是Hive、HDFS)的权限控制。