Step by Step 實現基於 Cloudera 5.8.2 的企業級安全大資料平臺 - Sentry 的整合

weixin_34138377發表於2017-02-19
Cloud大資料

本篇主要介紹 Hive 整合 Sentry、Impala 整合 Sentry、HUE 整合 Sentry,HDFS 整合 Sentry(這塊暫時沒有調通)。

眾所周知,MySQL 有細粒度的許可權控制,諸如 HBase 這樣的 NoSQL DB 也有細化到表的許可權控制。而 Hadoop 生態圈中也有一款對應的產品 Sentry,它可以細化到 Hive / Impala 資料庫的列粒度,進行許可權控制,極大地提升了叢集的多租戶共享能力,保障了數倉本身的資料安全性。配合 Kerberos 的 user / service 認證,HDFS 的 ACLs 檔案系統許可權控制,以及傳輸層加密,HDFS 的靜態資料加密,甚至是基於 LUKS 的整盤加密,可謂海陸空式的進行了安全防護。

下面我們來具體談談,怎麼整合 Sentry 到 Hadoop 中。

Hive 整合 Sentry

準備工作

  • Hive 的數倉 /user/hive/warehouse 目錄必須從屬於 hive:hive;
  • Hive 的 Cloudera 配置:hive.server2.enable.impersonation = False
  • YARN 的 Cloudera 配置:確保Allowed System Users已經包含了hive使用者;

配置工作

在 Clouder Manager 對 Hive 進行配置,這裡的 Server Name 是 Hive 數倉服務名,表示根服務:

Sentry Service = Sentry
Server Name for Sentry Authorization = server1

重啟 Hive 服務。

給 hive 使用者授權 hive 超級管理員許可權,假設 hiveserver2 是 192.168.1.3:

HIVESERVER2_HOSTNAME=192.168.1.3
beeline -u "jdbc:hive2://${HIVESERVER2_HOSTNAME}:10000/default;principal=hive/${HIVESERVER2_HOSTNAME}@DOMAIN.COM;"
CREATE ROLE admin_role;
GRANT ALL ON SERVER server1 TO ROLE admin_role;
GRANT ROLE admin_role TO GROUP hive;
GRANT ROLE admin_role TO GROUP admin;

Impala 整合 Sentry

在 Clouder Manager 對 Impala 進行配置:

Sentry Service = Sentry

重啟 Impala 服務。

HUE 整合 Sentry

在 Clouder Manager 對 HUE 進行配置:

Sentry Service = Sentry

重啟 HUE 服務。

新增 Hive, Impala, HUE, HUE 預設超級管理員組到 Sentry admin 組

在 Clouder Manager 對 Sentry 進行配置,修改 Admin Group,新增hiveimpalahueadmin(hue的預設超級管理員),重啟 Sentry 服務。

至此,所有配置完成,接下來進行功能測試。

功能測試

本文對 Use Case 1進行了詳細闡述,針對 Use Case 2 和 Use Case 3,請讀者通過 HUE 的 Hive Tables 功能自己實現。

Use Case 1: hive 使用者有最高許可權,可以檢視所有資料庫、表及 CRUD 等,hue 使用者只有 filtered 資料庫許可權

準備測試資料:

cat /tmp/events.csv
10.1.2.3,US,android,createNote
10.200.88.99,FR,windows,updateNote
10.1.2.3,US,android,updateNote
10.200.88.77,FR,ios,createNote
10.1.4.5,US,windows,updateTag

然後,在 HUE 的 hive editor 中執行下面 sql 語句,建立 sensitive filtered 資料庫:

create database sensitive;
 
create table sensitive.events (
    ip STRING, country STRING, client STRING, action STRING
) ROW FORMAT DELIMITED FIELDS TERMINATED BY ',';
 
load data local inpath '/tmp/events.csv' overwrite into table sensitive.events;
 
create database filtered;
 
create view filtered.events as select country, client, action from sensitive.events;
 
create view filtered.events_usonly as select * from filtered.events where country = 'US';

使用 hive/hive_admin這個 principal 進行 Kerberos 認證,為 hive 使用者賦予最高許可權(不知道如何建立 principal?請參考Step by Step 實現基於 Cloudera 5.8.2 的企業級安全大資料平臺 - Kerberos的整合):

kinit hive/hive_admin

HIVESERVER2_HOSTNAME=192.168.1.3

beeline -u "jdbc:hive2://${HIVESERVER2_HOSTNAME}:10000/default;principal=hive/${HIVESERVER2_HOSTNAME}@DOMAIN.COM;"
 
CREATE ROLE admin_role;
 
GRANT ALL ON SERVER server1 TO ROLE admin_role; 
 
GRANT ROLE admin_role TO GROUP hive;

在 HUE 中使用 hive 使用者進行登入,確認可以讀取 sensitive filtered 資料庫中的表資料,hive 使用者應該可以檢視所有資料庫、訪問所有表。建立使用者 hue,它只可以訪問 filtered 資料庫:

kinit hive/hive_admin

HIVESERVER2_HOSTNAME=192.168.1.3

beeline -u "jdbc:hive2://${HIVESERVER2_HOSTNAME}:10000/default;principal=hive/${HIVESERVER2_HOSTNAME}@DOMAIN.COM"
 
CREATE ROLE test_role;
 
GRANT ALL ON DATABASE filtered TO ROLE test_role;
 
GRANT ROLE test_role TO GROUP hue;

在 HUE 介面上使用 hue 使用者登入,確認 hue 使用者只對 filtered 資料庫有最高許可權,但是對 sensitive 沒有任何許可權。

Use Case 2: hue使用者對資料庫 test_only 有所有許可權,對 test_select_only 只有 select 許可權

Use Case 3: hive使用者具備資料庫hive_only資料庫所有許可權,而hue使用者只能SELECT hive_only.events.country 欄位

相關文章