Apache Ranger 1.1.0 用户指南
文章目录
- 关于本文档
- 概述
- 登录系统
- 退出系统
- Service Manager (Access Manager)
- 添加服务
- HDFS
- HBASE
- Hive
- YARN
- KNOX
- STORM
- SOLR
- KAFKA
- NIFI
- KYLIN
- SQOOP
- ATLAS
- 编译服务
- 删除服务
- Ranger策略(Ranger Policies)
- HDFS
- 添加HDFS策略
- 查看/编辑/删除HDFS的政策
- HDFS政策的举例
- Example 1:Policy in Ranger
- Example 2: No Policies in Ranger,permission in HDFS
- HBASE
- 添加HBASE政策
- 查看/编辑/删除/撤销HBASE策略
- Hive
- 添加Hive政策
- 查看/编辑/删除/撤销HIVE策略
- YARN
- 添加YARN政策
- 查看/编辑/删除yarn政策
- KNOX
- 添加KNOX政策
- STORM
- SOLR
- KAFKA
- 添加Kafka政策
- NIFI
- KYLIN
- SQOOP
- ATLAS
- USERS/GROUPS
- Users
- 添加用户
- 编辑用户
- Groups
- 添加组
- 编辑组
- 报告(Reports)
- Audit
- Access
- Admin
- Login Sessions
- Plugins
- Plugin Status
- User Sync
- 权限(Permission)
- 权限模块
- 添加/编译权限
关于本文档
本用户指南适用于管理员策略管理。URL信息可以在安装指南或系统管理员处找到。
概述
登录系统
通过提供的用户名和密码登录到系统(管理员用户名和密码是安装时设置的admin/admin123,密码保证最低8位)。为了简单起见,用户名也显示在主页上。注意登录是区分大小写的。
退出系统
用户名显示在主页的右上角。下拉列表中提供了注销选项。
Service Manager (Access Manager)
Access Manager可以从顶部菜单栏访问。顶部菜单栏显示了管理员支持的模块列表。
Access Manager模块帮助在这些服务下添加和管理各种受支持的服务和策略。
添加服务
- 步骤1:通过单击服务管理器页面上每一列旁边的加号图标来添加服务。可以在此步骤中添加服务和其他配置属性的详细信息。添加的服务将如下所示。
- 步骤2:在“创建服务”屏幕上填充与服务类型相关的所有属性,如下所示
HDFS
| 标签 | 描述 |
|---|---|
| Service Name | 服务的名称,需要在代理配置中指定服务名称 |
| Description | 提供服务描述以供参考 |
| Active Status | 选择此选项来启用(Enabled)或禁用(Disabled)服务 |
| Select Tag Service | 选择标签服务 |
| Username | 指定可用于连接的终端系统用户名(如:hdfs用户) |
| Password | 添加上面用户名的密码(如:admin) |
| Namenode URL | hdfs://NAMENODE_FQDN:8020 |
| Authorization Enabled | 授权包括限制对资源的访问。如果启用,用户需要授权凭据 |
| Authentication Type | 指定身份验证类型(Simple, Kerberos) |
| hadoop.security.auth_to_local | 它应该取自hadoop配置文件core-site.xml;使用hadoop将登录凭证映射到用户名 |
| dfs.datanode.kerberos.principal | 它应该取自hadoop配置文件hdfs-site.xml;仅在启用kerberos身份验证时才提供;与datanode相关的原理 |
| dfs.namenode.kerberos.principal | 它应该取自hadoop配置文件hdfs-site.xml;仅在启用kerberos身份验证时才提供;与namenode相关的原则 |
| dfs.secondary.namenode.kerberos.principal | 应从hadoop配置文件hdfs-site.xml中获取;仅在启用kerberos身份验证时才提供;与次级namenode相关联的主体 |
| RPC Protection Type | 只有授权用户才能查看,使用和贡献数据集;Authentication(认证);Integrity(完整);Privacy(隐私) |
| Common Name for Certificate | 指定证书的名称 |
| Add New Configurations | 指定任何其他新配置 |
HBASE
| 标签 | 描述 |
|---|---|
| Service Name | 服务的名称,需要在代理配置中指定服务名称 |
| Description | 提供任何描述以供参考 |
| Active Status | 可以选择此选项来启用(Enabled)或禁用(Disabled)服务 |
| Select Tag Service | 选择标签服务 |
| Username | 指定可用于连接的最终系统用户名(如:hbase) |
| Password | 添加上面用户名的密码(如:admin) |
| hadoop.security.authentication | 指定身份验证类型(Simple, Kerberos) |
| hbase.master.kerberos.principal | 属性指定Kerberos主体HBase Master(只适用于支持Kerberos的环境) |
| hbase.security.authentication | 设置必须与此属性(Simple, Kerberos)的hbase-site.xml设置匹配 |
| hbase.zookeeper.property.clientPort | 设置必须与此属性的hbase-site.xml设置匹配(默认值为:2181) |
| hbase.zookeeper.quorum | 设置必须与此属性的hbase-site.xml设置匹配 |
| zookeeper.znode.parent | 设置必须与此属性的hbase-site.xml设置匹配 |
| Common Name for Certificate | 指定证书的公共名称 |
| Add New Configurations | 指定任何其他新配置 |
Hive
| 标签 | 描述 |
|---|---|
| Service Name | 服务的名称,需要在代理配置中指定服务名称 |
| Description | 提供服务描述以供参考 |
| Active Status | 可以选择此选项来启用(Enabled)或禁用(Disabled)服务 |
| Select Tag Service | 选择标签服务 |
| Username | 指定可用于连接的最终系统用户名(如:hive) |
| Password | 添加上面用户名的密码(如:admin) |
| jdbc.driverClassName | 驱动程序用于Hive连接的完整类名,缺省HiveServer2类名是:org.apache.hive.jdbc.HiveDriver |
| jdbc.url | jdbc:hive2://HIVE_FQDN:10000 |
| Common Name for Certificate | 指定证书的公共名称 |
| Add New Configurations | 指定任何其他新配置 |
YARN
| 标签 | 描述 |
|---|---|
| Service Name | 服务的名称,需要在代理配置中指定服务名称 |
| Description | 提供服务描述以供参考 |
| Active Status | 您可以选择此选项来启用(Enabled)或禁用(Disabled)服务 |
| Select Tag Service | 选择标签服务 |
| Username | 指定可用于连接的最终系统用户名(如:yarn) |
| Password | 添加上面用户名的密码(如:admin) |
| YARN REST URL | http or https: //RESOURCEMANAGER_FQDN:8088 |
| Authentication Type | 指定身份验证类型(Simple, Kerberos) |
| Common Name for Certificate | 指定证书的公共名称 |
| Add New Configurations | 指定新配置 |
KNOX
| 标签 | 描述 |
|---|---|
| Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
| Description | 提供服务描述以供参考 |
| Active Status | 您可以选择此选项来启用或禁用服务 |
| Select Tag Service | 选择标签服务 |
| Username | 指定可用于连接的最终系统用户名 |
| Password | 添加上面用户名的密码 |
| knox.url | 用于knox的网关url |
| Common Name for Certificate | 指定证书的名称 |
| Add New Configurations | 指定任何其他新配置 |
STORM
| 标签 | 描述 |
|---|---|
| Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
| Description | 提供服务描述以供参考 |
| Active Status | 您可以选择此选项来启用或禁用服务 |
| Select Tag Service | 选择标签服务 |
| Username | 指定可用于连接的最终系统用户名 |
| Password | 添加上面用户名的密码 |
| Nimbus URL | nimbus格式的主机名http://:8080 |
| Common Name for Certificate | 指定证书的名称 |
| Add New Configurations | 指定任何其他新配置 |
SOLR
| 标签 | 描述 |
|---|---|
| Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
| Description | 提供服务描述以供参考 |
| Active Status | 您可以选择此选项来启用或禁用服务 |
| Select Tag Service | 选择标签服务 |
| Username | 指定可用于连接的最终系统用户名 |
| Password | 添加上面用户名的密码 |
| Solr URL | http://Solr_host:6083 |
| Ranger Plugin SSL CName | 提供common.name.for.certificate,该证书在Ranger中注册(在有线加密环境中) |
| Add New Configurations | 指定任何其他新配置 |
KAFKA
| 标签 | 描述 |
|---|---|
| Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
| Description | 提供服务描述以供参考 |
| Active Status | 您可以选择此选项来启用或禁用服务 |
| Select Tag Service | 选择标签服务 |
| Username | 指定可用于连接的最终系统用户名 |
| Password | 添加上面用户名的密码 |
| Zookeeper Connect String | 默认为localhost:2181(提供zookeeper host:2181的FQDN) |
| Ranger Plugin SSL CName | 提供common.name.for.certificate,该证书在Ranger中注册(在有线加密环境中) |
| Add New Configurations | 指定任何其他新配置 |
NIFI
| 标签 | 描述 |
|---|---|
| Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
| Description | 提供服务描述以供参考 |
| Active Status | 您可以选择此选项来启用或禁用服务 |
| Select Tag Service | 选择标签服务 |
| NiFi URL | |
| Authentication Type | |
| Keystore | |
| Keystore Type | |
| Keystore Password | |
| Truststore | |
| Truststore Type | |
| Truststore Password | |
| Add New Configurations |
KYLIN
| 标签 | 描述 |
|---|---|
| Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
| Description | 提供服务描述以供参考 |
| Active Status | 您可以选择此选项来启用或禁用服务 |
| Select Tag Service | 选择标签服务 |
| Username | 指定可用于连接的最终系统用户名 |
| Password | 添加上面用户名的密码 |
| Kylin URL | |
| Add New Configurations | 指定任何其他新配置 |
SQOOP
| 标签 | 描述 |
|---|---|
| Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
| Description | 提供服务描述以供参考 |
| Active Status | 您可以选择此选项来启用或禁用服务 |
| Select Tag Service | 选择标签服务 |
| Username | 指定可用于连接的最终系统用户名 |
| Sqoop URL | |
| Add New Configurations | 指定任何其他新配置 |
ATLAS
| 标签 | 描述 |
|---|---|
| Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
| Description | 提供服务描述以供参考 |
| Active Status | 您可以选择此选项来启用或禁用服务 |
| Select Tag Service | 选择标签服务 |
| Username | 指定可用于连接的最终系统用户名 |
| Password | 添加上面用户名的密码 |
| atlas.rest.address | |
| Common Name for Certificate | 指定证书的名称 |
| Add New Configurations | 指定任何其他新配置 |
编译服务
您可以编辑服务细节,包括每个服务名称旁边的edit图标中的配置属性
删除服务
您可以通过单击“管理服务”页面上列出的每个服务名称旁边的“删除”按钮来删除服务
Ranger策略(Ranger Policies)
HDFS
添加HDFS策略
可以从HDFS策略列表页面为特定服务添加一个新策略。在添加时,策略应列在下表中。可以通过提供的搜索过滤器搜索策略。
- 步骤1:单击清单页面上的Add New Policy按钮
- 步骤2:创建政策形式
| 标签 | 描述 |
|---|---|
| Policy Type | |
| Policy Name | 输入适当的策略名称。不能为相同的服务类型(HDFS)复制此名称。这个字段是强制性的 |
| Policy Label | |
| Resource Path | 定义文件夹/文件的资源路径。您可以添加通配符,如/home*,以避免写入完整路径,并为所有子文件夹或文件启用该策略 |
| Description | 可以包括正在创建的策略的描述 |
| Audit Logging | 指示是否将审计此策略 |
| Select Group | 从用户组列表中选择一个特定的组并为该组选择权限 |
| Select User | 从用户列表中选择一个特定的用户并为该用户选择权限 |
| Delegate Admin | 当策略被分配给一个用户或一组用户时,这些用户将成为委托的管理员。被授权的管理员可以更新、删除策略。它还可以基于原始策略(基本策略)创建子策略 |
- 创建策略时的权限
| 权限 | 描述 |
|---|---|
| Read | 允许用户执行读取操作 |
| Write | 允许用户执行写操作 |
| Execute | 允许用户执行执行操作 |
| Select/Deselect All | 全选/取消全选 |
- 步骤3:策略使用唯一id创建
查看/编辑/删除HDFS的政策
可以通过单击策略行旁边的编辑/删除按钮从HDFS策略列表页面编辑/删除策略。
HDFS政策的举例
Example 1:Policy in Ranger
在下面的示例中,我们创建了一个策略’ HDFS_POLICY ‘,它具有资源路径/home,具有读、写、执行、委托管理权限,并将其分配给ranger
以“ranger”用户登录并尝试创建一个目录home。用户将被允许创建目录,因为它拥有对具有资源路径/home的策略’ HDFS_POLICY '的读、写和执行权限
操作日志。如果被允许,结果将以“允许”的形式出现;如果被拒绝,结果将以“拒绝”的形式出现。
在下面的示例中,我们修改了策略为’ HDFS_POLICY ',具有资源路径/home的读权限
当用户试图在资源路径中创建目录时,应用程序将抛出一个拒绝权限的错误
在为操作生成的日志中,由于用户没有写权限,结果将以“拒绝”的形式出现。请注意,“访问强制器”列将显示强制器(ranger-acl或hadoop-acl)
Example 2: No Policies in Ranger,permission in HDFS
HDFS组件没有服务策略
当用户“ranger”试图在资源路径应用程序中创建名称为“目录”的目录时,将抛出一个错误
如果在为操作生成的日志中拒绝权限,则结果将被“拒绝”
HBASE
添加HBASE政策
您可以从HBASE策略列表页面添加一个新策略。在添加时,策略应列在下表中。可以通过’ column ‘、’ column family ‘、’ Group name ‘、’ Policy name ‘、’ Status’、‘Table’、’ Username '来搜索策略。
- 步骤1:单击清单页面上的Add New Policy按钮
- 创建Hbase策略
| 标签 | 描述 |
|---|---|
| Policy Type | |
| Policy Name | 输入适当的策略名称。不能为相同的服务类型(Hbase)复制此名称。这个字段是强制性的 |
| Policy Label | |
| HBase Table | 选择适当的表。可以为特定策略选择多个表。这个字段是强制性的 |
| HBase Column-family | 对于选定的表,选择将适用该策略的列族 |
| HBase Column | 对于选定的表和列族,选择策略将适用于其的列 |
| Description | 对策略适当描述 |
| Audit Logging | 选择是否审计特定的策略 |
| Select Group | 从用户组列表中选择一个特定的组并为该组选择权限。选择admin权限将指定该组为所选资源的admin |
| Select User | 从用户列表中选择一个特定的用户并为该用户选择权限。选择admin权限将指定用户为所选资源的admin |
| Delegate Admin | 授权管理员 |
| Enable/Disable | 默认情况下,策略是启用的。您可以禁用策略来限制该策略的用户/组访问 |
- 创建策略时的权限
| 权限 | 描述 |
|---|---|
| Read | 允许用户执行读取操作 |
| Write | 允许用户执行写操作 |
| Create | 允许用户执行创建操作 |
| Admin | 这将为用户提供委托的管理访问 |
| Select/Deselect All | 全选/取消全选 |
- GRANT: HBase GRANT是一个命令,用于向用户提供对HBase数据库表的访问或特权
# 语法
grant '','',''
# 举例
grant 'ranger’' , 'RW' , 'testtable2'
# 这将创建一个策略,并为testtable2上的ranger提供读写访问权限
这将创建一个策略,并为testtable2上的user1(ranger)提供读写访问权限
查看/编辑/删除/撤销HBASE策略
通过单击策略行旁边的view/edit/delete按钮,可以从HBASE策略列表页面查看/编辑/删除策略
- REVOKE: Hbase REVOKE是一个命令,用于从用户撤消对Hbase数据库表的访问或特权
# 语法
revoke ‘',''
# 举例
revoke 'ranger','testtable2'
这将撤销ranger的所有权利,在hbase中,您没有像在hbase中那样为每个特权指定特定的revoke命令
Hive
添加Hive政策
您可以从Hive策略列表页面添加新策略。 添加时,该策略应列在下表中。 您可以按“数据库名称”,“表格”,“列”,“论坛名称”,“政策名称”,“状态”,“用户名”,“udf”搜索政策
- 步骤1:单击清单页面上的Add New Policy按钮
- 步骤2:添加策略表单
可以为hive数据库、hive表和hive列名的组合创建策略
标签
描述
Policy Type
Policy Name
输入适当的策略名称。不能为相同的服务类型(Hive)复制此名称。这个字段是强制性的
Policy Label
database/url/hiveservice
选择适当的数据库。可以为特定策略选择多个数据库。这个字段是强制性的
table/udf
对于所选数据库,选择策略适用的表;还可以为UDF设置策略。用户定义的函数。输入适当的udf
Hive Column
对于选定的数据库和表,选择策略适用的列
Description
对策略适当描述
Audit Logging
选择是否审计特定的策略
Select Group
从用户组列表中选择一个特定的组并为该组选择权限
Select User
从用户列表中选择一个特定的用户并为该用户选择权限
Delegate Admin
include/exclude
include标志意味着它将考虑字段中输入的值。默认值设置为include。exclude标志将排除在该特定字段中输入的所有表名或列名
enable/disable
默认情况下,策略是启用的。您可以禁用策略来限制该策略的用户/组访问
- 创建策略时的权限
权限
描述
select
允许用户执行选择操作
update
允许用户执行更新操作
Create
允许用户执行创建操作
Drop
允许用户执行删除操作
Alter
允许用户执行Alter操作
Index
允许用户执行索引操作
Lock
允许用户对指定的资源执行锁定操作
All
允许用户执行所有操作
Read
允许用户执行可读操作
Write
允许用户执行可写操作
ReplAdmin
Service Admin
Select/Deselect all
全选/取消全选
- GRANT: Hive GRANT是一个命令,用于向用户提供对Hive数据库表的访问或特权
# 语法
grant on table to user ;
# 例如
grant select on table default.newtable to user ranger;
#这将创建一个策略并将select权限授予ranger
查看/编辑/删除/撤销HIVE策略
- REVOKE: Hive REVOKE是一个命令,用于从用户撤消对Hive数据库表的访问或特权
# 语法
revoke on table from user ;
# 举例
revoke select on table default.newtable from user ranger;
# 这将撤销ranger中的select权限
YARN
添加YARN政策
您可以从Yarn策略列表页面添加一个新策略。在添加时,策略应列在下表中。您可以通过“组名”、“策略名”、“队列”、“状态”、“用户名”搜索策略
- 步骤1:单击清单页面上的Add New Policy按钮
- 步骤2:添加Yarn策略
标签
描述
Policy Type
Policy Name
输入适当的策略名称。此名称不能在整个系统中复制
Policy Label
Queue
yarn调度的基本单元
Description
对策略适当描述
Audit Logging
选择是否审计特定的策略
Enable/disable
默认情况下,策略是启用的。您可以禁用策略来限制该策略的用户/组访问
Recursive
您可以指示现有文件夹中的所有文件或文件夹是否都在策略之下。可以用来代替通配符
Select Group
从组列表中选择一个特定的组并为该组选择权限
Select User
从用户列表中选择一个特定的用户并为该用户选择权限
Delegate Admin
授权管理员
权限
描述
Submit-job
允许用户在定义的队列上提交作业
Admin-queue
允许用户管理管理队列
Select/Deselect All
全选/取消全选
查看/编辑/删除yarn政策
您可以通过单击策略行旁边的view/edit/delete按钮从yarn策略列表页面查看/编辑/删除策略
KNOX
添加KNOX政策
您可以从KNOX策略清单页面添加一个新策略。在添加时,策略应列在下表中。您可以通过“策略名称”、“拓扑名称”、“服务名称”和“组”搜索策略
- 步骤1:单击清单页面上的Add New Policy按钮
STORM
SOLR
KAFKA
添加Kafka政策
您可以从KAFKA策略列表页面添加一个新策略。在添加时,策略应列在下表中。您可以通过“组名”、“策略名”、状态、主题、“用户名”搜索策略
- 步骤1:单击清单页面上的Add New Policy按钮
- 步骤2:添加Kafka策略
标签
描述
Policy Type
Policy Name
输入适当的策略名称。不能为相同的服务类型复制此名称(Kafka)
Policy Label
topic/transactio
主题是发布消息的类别或提要名称
Description
Audit Logging
选择是否审计特定的策略
Select Group
从用户组列表中选择一个特定的组并为该组选择权限。选择Kafka管理权限将为所选资源指定组为Admin
Select User
从用户列表中选择一个特定的用户并为该用户选择权限。选择Kafka管理权限将指定用户为所选资源的管理员
Policy Conditions
Delegate Admin
Enable/Disable
默认情况下,策略是启用的。您可以禁用策略来限制该策略的用户/组访问
Include/Exclude
include标志意味着它将考虑字段中输入的值。默认值设置为include。exclude标志将排除在该特定文件中输入的所有表名或列名
标签
描述
Publish
向kafka主题生成器发布消息的过程
Consume
在流程中只使用主题中分区的子集
Configure
配置kafka代理/集群
Describe
获取主题元数据的权限
Create
Delete
Kafka Admin
Idempotent Write
Describe Configs
Alter Configs
Select/Deselect All
NIFI
KYLIN
SQOOP
ATLAS
USERS/GROUPS
策略权限分配给用户和组
Users
这些用户可以登录到Ranger门户并执行管理和报告任务。可以在添加用户时分配角色。只有管理员才允许创建用户和服务。“admin”/“admin user”的角色指定可以分配给新用户的角色
内部与外部用户:内部用户是由管理员管理员创建的用户。比如:XA Policy Manager。外部用户是那些从其他系统(如Active Directory(AD)、LDAP或unix系统)同步的用户
添加用户
您可以从用户列表页面添加一个新组。在添加时,用户应该在下面的表中列出。在系统中创建的用户是您可以通过“电子邮件地址”、“角色”、“用户名”、“用户源”、“用户状态”、“可见性”搜索用户。
- 步骤1:单击用户列表页面上的Add New User按钮
- 步骤2:输入详细信息并保存
标签
描述
User Name
输入适当的用户名。此名称不能在整个系统中复制
New Password
输入适当的密码
Password Confirm
确认输入的密码
First Name
输入一个合适的名字
Last Name
输入适当的姓
Email Address
以所需格式输入适当的第一个电子邮件地址
Select Role
选择适当的角色(管理员、用户)。这是一个强制字段
Group
选择用户所属的组
- 步骤3:设置可见性(即可见/隐藏)
单击“可见”选项后,在“用户列表”页面中选择“用户获取可见”
单击隐藏按钮后,用户从策略列表页面获得隐藏。
编辑用户
我们只能编辑内部用户。对于外部用户,只能更改角色
- Admin 登录
您可以通过单击用户名从用户列表页面编辑用户
- User 登录
您可以通过单击profile从用户列表页面编辑用户
Groups
Ranger也允许在组级别分配权限
添加组
您可以从组列表页面添加一个新组。在添加时,组应该在下表中列出。您可以通过“组名称”和“组源”可见性搜索组
- 步骤1:单击组列表页面上的Add New Group按钮
- 步骤2:输入详细信息并保存
标签
描述
Group Name
输入适当的用户名。此名称不能在整个系统中复制。这是一个强制字段
Description
提供任何描述以供参考
编辑组
您可以通过单击组的名称从组列表页面编辑组。(只能由管理员执行)
- 可见性的组:隐藏组不会出现在组列表页中。要使组隐藏,请选择组组名称旁的复选框
报告(Reports)
报告模块用于随着策略数量的增加更有效地管理策略。这个页面将列出所有的政策从HDFS,HBASE,HIVE,YARN,KNOX,STORM,SOLR,KAFKA,NIFI,KYLIN,SQOOP和ATLAS。
您可以基于Search Criteria进行搜索
标签
描述
Policy Name
输入策略名称
Policy Type
选择策略类型,例如。 访问,屏蔽,行级别过滤策略
Component
选择Hadoop组件,例如。 HDFS,Hive等
Resource
输入资源名称,例如。 路径,表/列名称等
Policy Label
输入策略标签
Search By
按用户名或组名搜索
Audit
目前Ranger支持定期审计。这包括在资源级别进行日志记录。它将支持基于用户、组或日期/时间等的条件审计
Access
为审核设置为“开”的所有策略提供服务活动数据。 默认服务策略配置为记录服务中的所有用户活动。 此默认策略不包含用户和组访问规则。您可以根据以下条件筛选数据
搜索条件
描述
Access Enforcer
按访问强制实施器名称搜索
Access Type
按访问搜索类型,如READ_EXECUTE,WRITE_EXECUTE
Client IP
按访问资源的IP地址进行搜索
Cluster Name
ambari群集的名称
End Date
设置结束日期
Resource Name
资源名称
Resource Type
基于组件按资源类型搜索。 例如。 HDFS中的路径,数据库,Hive中的表
Result
按访问结果搜索,即允许/拒绝日志
Service Name
服务名称
Service Type
选择服务类型
Start Date
设置开始日期
User
用户名
Tags
标签名称
Admin
此模块包含HDP安全管理Web UI的所有事件,包括服务、策略管理器、登录等(创建、更新、删除、密码更改等操作)。您可以根据以下内容过滤数据
搜索条件
描述
Actions
这些是对资源执行的操作,例如创建、更新、删除、更改密码等操作
Audit Type
根据对服务、策略和用户执行的操作,有三个值资源、资产和用户
End Date
Session Id
每次尝试登录系统时,会话计数都会递增
Start Date
每个会话都存储登录时间和日期。日期范围用于过滤特定日期范围的结果
User
已执行创建、更新和删除操作的用户名
单击操作时的差异视图(本例中为Update操作)
Login Sessions
此模块为每次登录记录与会话相关的信息。您可以基于此过滤数据
搜索条件
描述
End Date
每个会话都存储登录时间和日期。日期范围用于过滤特定日期范围的结果
IP
登录的系统的IP
Login Id
通过其登录到系统的用户名
Login Type
用户尝试登录的模式。(输入用户名及密码)
Result
基于登录成功或失败的结果
Session Id
每次尝试登录系统时,会话计数都会递增
Start Date
每个会话都存储登录时间和日期
User Agent
每次登录系统时用户代理
单击会话id查看会话详细信息
Plugins
此模块显示安全代理的上载历史。此模块显示从系统导出的所有服务。可以根据以下内容过滤数据
搜索条件
描述
Cluster Name
导出服务操作的集群名称
Start/End Date
每个代理都存储了导出时间和日期。日期范围用于过滤特定日期范围的结果
Http Response Code
导出服务时得到的http状态
Plugin ID
试图导出服务的代理的名称
Plugin IP
试图导出服务的代理的Ip
Service Name
我们要导出的服务名称
Plugins选项卡用于检查组件是否成功地与ranger通信
Plugin Status
User Sync
权限(Permission)
权限模块
权限模块的目的是提供用户角色的灵活性。在权限模型的帮助下,管理员可以限制非管理员用户对任何模块的访问或分配权限。权限模型的主要目的是根据策略管理器、审计、报告、用户管理、密钥管理器等服务为非管理员用户分配专用角色
- 步骤1:将指针放在“设置”选项卡上。从下拉菜单中点击“权限”
- 步骤2:可以按组名、模块名和用户名搜索权限
添加/编译权限
- 步骤3:单击“操作”列下的“编辑”按钮,以访问权限清单页面上选定的用户的特定模块
- 步骤4:可以从下拉列表中选择多个用户和组
- 步骤5:如果ranger user只有Audit and Reports选项卡的权限,那么只有这两个模块是可见的,以便在用户登录时标记用户
你可能感兴趣的:(Ranger)