ranger操作介绍

https://cwiki.apache.org/confluence/display/RANGER/Apache+Ranger+0.5+-+User+Guide 

策略

HDFS

  • 添加HDFS策略

您可以从HDFS策略列表页面为特定服务添加新策略。添加时,该策略应列在下表中。您可以通过提供的搜索过滤器搜索策略。

1 单击列表页面上的“添加新策略”按钮

ranger操作介绍_第1张图片

2创建政策表格

ranger操作介绍_第2张图片

标签

描述

Policy Name

输入适当的策略名称。对于相同的服务类型(HDFS),不能复制此名称。此字段是必填字段。

Resource path

定义文件夹/文件的资源路径。您可以添加/ home *之类的通配符,以避免编写完整路径以及为所有子文件夹或文件启用策略

Description

您可以包含要创建的策略的说明

Recursive

您可以指示现有文件夹中的所有文件或文件夹是否属于该策略。可以用来代替通配符

Audit Logging

指出是否审核此政策

Group Permissions

从用户组列表中,选择一个特定组并选择该组的权限。

Enable/disable

默认情况下,策略已启用。您可以禁用策略以限制该策略的用户/组访问权限。

User Permissions

从用户列表中,选择特定用户并为该用户选择权限。

Delegate Admin

将策略分配给用户或一组用户时,这些用户将成为委派的管理员。委派的管理员可以更新,删除策略。它还可以根据原始策略(基本策略)创建子策略

 

 

  • 创建策略时的权限

ranger操作介绍_第3张图片

 

 

 

  • 权限
  • 描述
  • Read
  • 允许用户执行读取操作
  • write
  • 允许用户执行写入操作
  • Execute
  • 允许用户执行执行操作

 

3使用唯一ID创建策略

ranger操作介绍_第4张图片

编辑/删除HDFS策略

  • 您可以通过单击策略行旁边的编辑/删除按钮从HDFS策略列表页面编辑/删除策略。

ranger操作介绍_第5张图片

 

HDFS政策示例

  • Ranger允许(通过配置)允许检查Ranger策略和HDFS权限以获取用户请求。在namenode中收到用户请求时。Ranger插件将检查通过Ranger管理员设置的策略。如果没有策略,Ranger插件将检查HDFS中设置的权限。 建议在HDFS级别具有限制性权限,并在Ranger安全管理员中创建权限。

示例1 Ranger中的策略

步骤1在下面的示例中,我们使用资源路径/ home创建策略“HDFS_POLICY”,其中包含读取,写入,执行,委托管理权限并将其分配给标记。

ranger操作介绍_第6张图片

  • 以' mark ' 用户身份登录并尝试创建目录主页。用户将被允许创建目录,因为它具有对资源路径/ home的策略'HDFS_POLICY'的读,写和执行权限

ranger操作介绍_第7张图片

  • 记录操作。如果授予权限,结果将变为“允许”,如果权限被拒绝,则结果将被“拒绝”。

ranger操作介绍_第8张图片

  • 在下面的示例中,我们使用具有读取权限的资源路径/ hadoop创建策略“HDFS_POLICY”,并将其分配给用户“mark”。

ranger操作介绍_第9张图片

  • 当用户尝试在资源路径中创建目录时,应用程序会抛出权限被拒绝的错误。

ranger操作介绍_第10张图片

  • 由于用户没有写入权限,因此在为操作生成的日志中,结果将被“拒绝”。请注意“Access Enforcer”列将显示强制执行者(ranger-acl或hadoop-acl)

ranger操作介绍_第11张图片

示例2 Ranger中没有策略,HDFS中的权限

  • 没有为HDFS组件服务的策略

ranger操作介绍_第12张图片

 

  • 当用户'mark'尝试在资源路径应用程序中创建名为'directory'的目录时,会引发错误。

  • 如果在为操作生成的日志中拒绝权限,则结果将被“拒绝”。

hive

  • 添加HIVE政策
  • 您可以从Hive策略列表页面添加新策略。添加时,该策略应列在下表中。您可以按“Database Name”,“Table”,“Column”,“Groups name”,“policy name”,“status,“user name”,“udf” 搜索政策

1单击列表页面上的“添加新策略”按钮。

ranger操作介绍_第13张图片

2添加政策表格

  • 表: -

ranger操作介绍_第14张图片

  • 您可以为hive数据库,配置单元表和配置单元列名称创建组合策略。

 

  • 标签
  • 描述
  • policy name
  • 输入适当的策略名称。对于相同的服务类型(Hive),不能复制此名称。此字段是必填字段。
  • Hive database name
  • 选择适当的数据库。可以为特定策略选择多个数据库。此字段是必填字段。
  • table name
  • 对于选定的数据库,选择策略适用的表
  • Hive column name
  • 对于选定的数据库和表,请选择策略适用的列
  • Audit logging
  • 选择是否审核特定策略。
  • Group permission
  • 从用户组列表中,选择一个特定组并选择该组的权限。
  • User permission
  • 从用户列表中,选择特定用户并为该用户选择权限。
  • include/exclude
  • include标志表示它将考虑在字段中输入的值。默认值设置为include。排除标志将排除在该特定字段中输入的所有表名或列名。
  • Enable/disable
  • 默认情况下,策略已启用。您可以禁用策略以限制该策略的用户/组访问权限。

 

  • UDF -

ranger操作介绍_第15张图片

 

 

 

 

 

  • 标签
  • 描述
  • Policy name
  • 输入适当的策略名称。此名称不能在整个系统中重复。此字段是必填字段。
  • Hive database
  • 选择适当的数据库。可以为特定策略选择多个数据库。此字段是必填字段。
  • UDF
  • 我们还可以为UDF.User定义函数设置策略。输入适当的udf。
  • Audit Logging
  • 选择是否审核特定策略。
  • Group permissions
  • 从用户组列表中,选择一个特定组并选择该组的权限。选择管理员权限会将该组指定为所选资源的管理员
  • User Permissions
  • 从用户列表中,选择一个特定组并选择该组的权限。选择管理员权限会将用户指定为所选资源的管理员
  • Include/exclude
  • include标志表示它将考虑在字段中输入的值。默认值设置为include。排除标志将排除在该特定字段中输入的所有表名或列名。
  • Enable/disable
  • 默认情况下,策略已启用。您可以禁用策略以限制该策略的用户/组访问权限。

 

  • 通配符: 通配符可以包含在资源路径中。'*'表示字符出现零个或多个。'?' 表示单个字符。您可以在数据库名称,表名称,列名称中使用通配符。例如,数据库名称为*,表名称为?和列名称为?。

在UDF的情况下,我们可以使用例如数据库名称*,UDF作为?。

 

允许

描述

Select

允许用户执行选择操作

Update

允许用户执行更新操作

Create

允许用户执行“创建”操作

Drop

允许用户执行Drop操作

Alter

允许用户执行Alter操作

Index

允许用户执行索引操作

Lock

允许用户对指定资源执行锁定操作

All

允许用户执行所有操作

GRANT :Hive GRANT是一个用于向用户提供Hive数据库表访问权限的命令。

Syntax: grant on table

to user ;   

  

i.e: grant select on table default.newtable to user mark;

这将创建一个策略并为user1提供选择权限。

 

 

ranger操作介绍_第16张图片

 

编辑/删除/撤销HIVE政策

  • 您可以通过单击策略行旁边的编辑/删除按钮从HIVE策略列表页面编辑/删除策略。

ranger操作介绍_第17张图片

 

REVOKE :Hive REVOKE是一个用于撤消用户对Hive数据库表的访问权限的命令。

 

Syntax: revoke on table

from user ;

  

i.e.  : revoke select on table default.newtable from user mark;

这将撤消user1的选择权限。

 

  • 同样我们可以写它(更新,创建,删除,更改,索引,锁定,所有,管理员)

ranger操作介绍_第18张图片

 

编辑/删除/撤销HIVE政策

  • 您可以通过单击策略行旁边的编辑/删除按钮从HIVE策略列表页面编辑/删除策略。

ranger操作介绍_第19张图片

 

REVOKE :Hive REVOKE是一个用于撤消用户对Hive数据库表的访问权限的命令。

 

Syntax: revoke on table

from user ;

  

i.e.  : revoke select on table default.newtable from user mark;

这将撤消user1的选择权限。

 

  • 同样我们可以写它(更新,创建,删除,更改,索引,锁定,所有,管理员)

ranger操作介绍_第20张图片

 

用户/

策略权限分配给用户和组。  

  • 用户

这些用户可以登录Ranger门户并执行管理和报告任务。可以在添加用户时分配角色。只允许管理员创建用户和创建服务。“admin”/“admin用户”的角色决定了可以为新用户分配的角色。

 

  • 内部与外部用户
  • 内部用户是由ranger管理员即XA策略管理器创建的用户。外部用户是从其他系统(如Active Directory(AD),LDAP或unix系统)同步的用户。
  • 添加用户

您可以从用户列表页面添加新组。添加时,用户应列在下表中。在系统中创建的用户是您可以通过“电子邮件地址”,“角色”,“用户名”,“用户来源”,“用户状态”,“可见性”搜索用户。

 

1单击用户列表页面上的“添加新用户”按钮

ranger操作介绍_第21张图片

 

2输入详细信息并保存。

ranger操作介绍_第22张图片

 

标签

描述

用户名

输入适当的用户名。

此名称无法在整个系统中重复。

新密码

输入适当的密码。

确认密码

确认输入的密码

名字

输入适当的名字。     

输入适当的姓氏

电子邮件地址

以所需格式输入适当的第一个电子邮件地址

选择角色

选择适当的角色(管理员,用户)。这是一个必填字段。

选择用户所属的组/。

 

3 设置可见性(即可见/隐藏)

点击隐藏按钮后,用户可以从政策列表页面隐藏。对于隐藏功能,用户必须选中“用户名”列附近的复选框。

ranger操作介绍_第23张图片

ranger操作介绍_第24张图片

ranger操作介绍_第25张图片

4设置可见性(可见)

    • 单击“可见”选项后,所选用户将在用户列表页面中显示。

ranger操作介绍_第26张图片

5设置用户的状态。

    • 如果启用了用户的状态,则该用户可以登录到该应用程序。如果用户状态为禁用,则该特定用户无法登录该应用程序。

ranger操作介绍_第27张图片

ranger操作介绍_第28张图片

  • 编辑用户
    • 我们只能编辑内部用户。对于外部用户,只能更改角色。

管理员登录:     

  • 您可以通过单击用户名从用户列表页面编辑用户。

 

    • 您可以通过单击用户名从用户列表页面编辑用户。

ranger操作介绍_第29张图片

用户登录:

    • 您可以通过单击配置文件从用户列表页面编辑用户。

ranger操作介绍_第30张图片

 

  • Ranger也允许在组级别分配权限。
  • 添加组
    • 您可以从“列表页面”组中添加新组。添加时,该组应列在下表中。您可以按“组名”和“组来源”,可见性搜索组

1单击组列表页面上的“添加新组”按钮。

ranger操作介绍_第31张图片

2输入详细信息并保存。

ranger操作介绍_第32张图片

 

 

标签

描述

Group Name

输入适当的用户名。

此名称不能在整个系统中重复。这是必填字段。

Description

提供任何描述以供参考。

 

  • 编辑群组
    • 您可以通过单击组的名称从组列表页面编辑组。(只能由管理员执行)

ranger操作介绍_第33张图片

    • 团体的可见性
    • 组列表页面中不显示隐藏组。要使组隐藏,请选中组组名称附近的复选框。

ranger操作介绍_第34张图片

 

ranger操作介绍_第35张图片

 

报告

    • 报告模块用于随着策略数量的增长更有效地管理策略。此页面将列出来自HDFS,HIVE,HBASE,KNOX,YARN,KAFKA,SOLR和STORM的所有策略。您可以基于执行搜索  
    • 策略名称:创建策略时分配给策略的策略名称。
    • 资源路径:创建策略时使用的资源路径。
    • 组”/“用户名”:分配策略的组和用户

ranger操作介绍_第36张图片

ranger操作介绍_第37张图片

 

审计

  • 目前,Ranger支持定期审计。这包括在资源级别进行日志记录。它将支持基于用户,组或日期/时间等的条件审计。

访问

  • 为审核设置为“开”的所有策略提供服务活动数据。默认服务策略配置为记录服务中的所有用户活动。此默认策略不包含用户和组访问规则。您可以根据以下条件筛选数据:

 

  • 搜索条件
  • 描述
  • Access Enforcer
  • 访问实施者指示谁决定允许或拒绝。对于HDFS,执行者将使用XA(Ranger)或Hadoop。
  • Access Type
  • 访问用户的类型具有例如读,写
  • Start date,End date
  • 为每次访问存储时间和日期。日期范围用于过滤特定日期范围的结果。
  • Service Name
  • 用户尝试访问的服务的名称
  • Service Type
  • 用户尝试访问的服务类型
  • Result
  • 这表明操作是否成功
  • User
  • 尝试访问资源的用户的名称
  • Client ip
  • 尝试访问资源的用户系统的IP地址

 

ranger操作介绍_第38张图片

 

管理员

  • 此模块包含HDP安全管理Web UI的所有事件,包括  服务,策略管理器,登录等(创建,更新,删除,密码更改等操作)。您可以根据以下内容过滤数据

 

  • 搜索条件
  • 描述
  • Action
  • 这些是对资源执行的操作,例如(创建,更新,删除,密码更改等操作)
  • Audit Type
  • 根据对服务,策略和用户执行的操作,有三个值Resource,asset和xa user。
  • Session id
  • 每次尝试登录系统时,会话计数都会递增
  • Start Date
  • 为每个会话存储登录时间和日期。日期范围用于过滤该特定日期范围的结果
  • User
  • 已执行创建,更新,删除操作的用户名。

 

ranger操作介绍_第39张图片

 

  • 单击操作时的差异视图(本例中为更新操作)

ranger操作介绍_第40张图片

 

 

记录会话

  • 此模块记录与每次登录的会话相关的信息。您可以根据过滤数据

 

  • 搜索条件
  • 描述
  • End Date,Start Date
  • 为每个会话存储登录时间和日期。日期范围用于过滤该特定日期范围的结果     
  • Ip
  • 我们登录的系统的IP
  • Login id
  • 用于登录系统的用户名
  • Login Type
  • 用户尝试登录的模式(通过输入用户名和密码)
  • Result
  • 基于登录通过或失败的结果
  • Session id
  • 每次尝试登录系统时,会话计数都会递增
  • User Agent
  • 为每个会话存储登录时间和日期

 

ranger操作介绍_第41张图片

  • 单击会话ID以获取会话详细信息

ranger操作介绍_第42张图片

ranger操作介绍_第43张图片

 

插件

  • 此模块显示安全客户端的上载历史记录。此模块显示从系统导出的所有服务。您可以根据以下内容过滤数据。

 

  • 搜索条件
  • 描述
  • Http Response Code
  • 您尝试导出服务时获得的http代码
  • Plugin IP
  • 试图导出服务的代理的IP
  • Plugin Id
  • 尝试导出服务的代理的名称
  • Start Date,End Date
  • 为每个代理存储导出时间和日期。日期范围用于过滤特定日期范围的结果。
  • Service Name
  • 我们尝试导出的服务名称。

 

ranger操作介绍_第44张图片

 

  • 插件选项卡对于检查组件是否与游侠成功通信非常有用。

权限

  • 权限模块

权限模块的目的是提供用户角色的灵活性。在权限模型的帮助下,管理员可以限制访问权限或为非管理员用户分配任何模块的权限。权限模型的主要目的是将专用角色分配给非 基于策略管理器,审计,报告,用户管理,密钥管理器等服务的管理员用户。

Step 1

将鼠标放在“设置”选项卡上。 点击下拉菜单中的“权限”。

.ranger操作介绍_第45张图片

 

Step 2 : 你可以按 Group Name,Module Name,User Name搜索权限.

 

ranger操作介绍_第46张图片

  • 增加编辑权限

Step 3 : 单击“操作”列下的“编辑”按钮,以便在权限列表页面上访问特定模块。

ranger操作介绍_第47张图片

Step 4 :
您可以从下拉列表中选择多个用户和组。

 a.  User Permission

ranger操作介绍_第48张图片

  b.  Group Permission

 

ranger操作介绍_第49张图片

 

Step 5 如果Steve用户仅拥有审核和报告选项卡的权限,则只有这两个模块可见,以便在登录时标记用户。

  a.  Admin Login

ranger操作介绍_第50张图片

   b.  Steve user Login

ranger操作介绍_第51张图片

 

你可能感兴趣的:(hadoop,ranger)