SQL Standard Based Hive Authorization(基于SQL标准的Hive授权)

说明:该文档翻译/整理于Hive官方文档 https://cwiki.apache.org/confluence/display/Hive/SQL+Standard+Based+Hive+Authorization#SQLStandardBasedHiveAuthorization-ObjectPrivilegeCommands。
 
Hive 0.13版本之前的授权现状
 
Hive默认授权(Default Hive Authorization (Legacy Mode))
 
设计目的并不是为了防止恶意用户访问(操作)未经授权的数据;
 
帮助用户避免一些意料之外的操作行为;
 
授权机制并不完善,在很多指令方面都没有进行授权确认,比如授权指令Grant;
 
授权确认发生在Hive SQL语句的编译阶段;
 
允许用户执行dfs指令、用户自定义函数以及shell指令,这些特殊操作很有可能跳过客户端的安全机制;
 
通过创建视图,并为视图进行授权(而不是为视图所依赖的表授权),从而提供细粒度的访问控制(仅可以访问表中的某几列)。
 
基于存储的授权(Storage Based Authorization in the Metastore Server)
 
通常用于Metastore Server API的授权;
 
Hive 0.12.0版本之后开始支持;
 
虽然能够保护Metastore中的元数据不被恶意用户破坏,但是没有提供细粒度的访问控制(列级别、行级别)
 
基于SQL标准的Hive授权(SQL Standards Based Hive Authorization)
 
基于SQL标准的Hive授权为Hive授权提供了第三个选择,它完全兼容SQL的授权模型,不会给现在的用户带来向后兼容的问题,因此被推荐使用。一旦用户迁移到这种更加安全的授权机制后,默认的授权机制可以被遗弃掉。
 
基于SQL的授权模型可以和基于存储的授权模型(Hive Metastore Server)结合使用。
 
和Hive的默认授权机制一样,授权确认发生的SQL语句的编译阶段。
 
为了保证该授权模型起到安全作用,客户端同样需要安全保证,可以通过以下两种方式做到:
(1)用户访问必须且仅可以通过HiveServer2;
(2)限制用户代码和非SQL指令被执行。
 
授权确认时是以提交SQL指令的用户身份为依据的,但SQL指令是以Hive Server用户身份(即Hive Server的进程用户)被执行的,因此Hive Server用户必须拥有相应目录(文件)的权限(根据SQL指令的不同,所需权限也不同)。
 
尽可能与标准SQL保持一致,但具体实现时存在些许偏差。有一些是因为方便现有用户进行迁移(授权相关),另一些是出于方便使用的目的。
 
在这种授权模型控制下,拥有权限使用Hive CLI、HDFS commands、Pig command line、'hadoop jar' 等工具(指令)的用户被称为特权用户。在一个组织(团队)内,仅仅一些需要执行ETL相关工作的团队需要这些特殊权限,这些工具的访问不经过HiveServer2,因此它们不受这种授权模型的控制。对于需要通过Hive CLI、Pig和MapReduce访问Hive表的用户,可以通过在Hive Metastore Server中启用Storage Based Authorization来进行相应的权限控制;其它情况则可能需要结合Hadoop的安全机制进行。
 
大多数的用户(使用SQL语句,并通过ODBC/JDBC访问HiveServer2进行商业分析)是可以使用这种授权模型进行权限控制的。
 
Hive指令和语句的限制
 
当使用基于SQL标准的授权模型时,
 
dfs、add、delete、compile、reset被禁用;
transform clause被禁用。
 
改变Hive配置的指令集合被限制为仅某些用户可以执行,可以通过hive.security.authorization.sqlstd.confwhitelist(hive-site.xml)进行配置。
 
添加或删除函数、宏的权限被限制为仅具有admin角色的用户可以执行。
 
为了用户可以使用(自定义)函数,创建永久函数(create permanent functions)的功能被添加。拥有角色admin的用户可以执行该指令添加函数,所有添加的函数可以被所有的用户使用。
 
权限
 
SELECT:赋予读取某个对象的权限;
 
INSERT:赋予添加数据至某个对象(表)的权限;
 
UPDATE:赋予在某个对象(表)上执行更新操作的权限;
 
DELETE:赋予在某个对象(表)上删除数据的权限;
 
ALL:赋予在某个对象上的所有权限(被转换成拥有上面四个权限)。
 
对象
 
权限被应用到表或者视图上,上面所描述的权限不支持应用于数据库上。
 
数据库所有者被用来确认某些特殊操作的权限;
 
Hive允许用户在SQL语句中使用URI,因此URI也是Hive的一种对象。上面所描述的权限不适用于URI对象。URI通常指向文件系统(HDFS)的一个文件或目录,授权是基于用户(提交SQL语句的用户,SQL语句中包含URI对象)在文件或目录上的权限进行的。
 
对象所有者
 
对于某些特殊操作,是否是该对象(表/视图/数据库)的对象所有者决定了是否有权限在该对象上执行这些特殊操作。
 
用户创建表、视图或者数据库,该用户即成为所创建表、视图或者数据库的所有者。对于表或者视图来说,所有者拥有对它们进行操作的所有权限(SELECT、INSERT、UPDATE、DELETE)。
 
数据库的所有者也可以是一个角色,可以通过“alter database”指令设置一个数据库的所有者为一个角色。
 
用户和角色
 
用户和角色均可以被赋予权限。
 
用户可以属于一个或多个角色。
 
有两个具有特殊意义的角色:public和admin。
 
所有用户均属于角色public,我们使用该角色并通过grant语句将权限赋予给其它用户。
 
当用户执行查询或指令的时候,用户被赋予的权限以及用户的“当前角色(可以为多个)”的权限被确认。“当前角色”可以通过”show current roles”进行查看。默认情况下,“当前角色”即为用户所属的所有角色(角色admin除外),我们可以通过指令“set role”指定某个角色成为“当前角色”。
 
作为数据库管理员的用户通常被添加至角色admin。
 
具有角色admin的用户可以执行额外的指令,如create role或者drop role。他们也有访问对象的全部权限,即使他们并没有被显式授权。因为角色admin默认不属于“当前角色”,一个属于角色admin的用户要想得到角色admin的权限,必须通过指令set role先将“当前角色”切换至角色admin。
 
用户(角色)名称
 
角色名称大小写不敏感。
 
用户名称大小写敏感。
 
带引号的标识符(Quoted Identifiers)
 
一般情况下不建议使用,忽略此小节。
 
角色管理指令
 
Create Role
 
CREATE ROLE role_name;
 
仅仅角色admin具有该权限。角色名称ALL、DEFAULT和NONE被保留。
 
Drop Role
 
DROP ROLE role_name;
 
仅仅角色admin具有该权限。
 
Show Current Roles
 
SHOW CURRENT ROLES;
 
显示用户的“当前角色”列表。
 
判断用户权限时涉及两个方面:
 
用户是否被赋予相应权限;
用户所属角色(可能为多个)是否被赋予相应权限。
 
默认“当前角色”包含用户所属的所有角色,但角色admin除外,即使该用户属于角色admin。
 
所有用户均可以执行该指令。
 
Set Role
 
SET ROLE (role_name|ALL);
 
如果role_name被指定,则角色role_name成为“当前角色”中的唯一角色。
 
如果指定role_name为ALL,则会刷新“当前角色”列表,用于用户被赋予新的角色时使用。
 
如果用户并不属于role_name所代表的角色,则会导致一个错误。
 
Show Roles
 
SHOW ROLES;
 
列出当前存在的所有角色。
 
仅仅角色admin具有该权限。
 
Grant Role
 
GRANT role_name [, role_name] ...
TO principal_specification [, principal_specification] ...
[ WITH ADMIN OPTION ];
 
principal_specification
: USER user
| ROLE role
 
将一个或多个角色赋予给另一些角色或用户。
 
如果指定“WITH ADMIN OPTION”,被赋予角色的用户可以将相应的角色赋予给其它用户或角色。
 
如果上面的Grant语句会导致角色循环,则执行会失败。
 
Revoke Role
 
REVOKE [ADMIN OPTION FOR] role_name [, role_name] ...
FROM principal_specification [, principal_specification] ... ;
 
principal_specification
: USER user
| ROLE role
 
从指定的用户或角色中回收指定的角色。
 
Show Role Grant
 
SHOW ROLE GRANT (USER|ROLE) principal_name;
 
principal_name为用户或角色名称。
 
列出指定用户或角色被赋予的角色列表。
 
所有用户均可以执行该指令。
 
Show Principals
 
SHOW PRINCIPALS role_name;
 
列出属于指定角色的所有角色和用户。
 
仅仅角色admin具有该权限。
 
管理对象权限
 
Grant
 
GRANT
priv_type [, priv_type ] ...
ON table_or_view_name
TO principal_specification [, principal_specification] ...
[WITH GRANT OPTION];
 
Revoke
 
REVOKE [GRANT OPTION FOR]
priv_type [, priv_type ] ...
ON table_or_view_name
FROM principal_specification [, principal_specification] ... ;
 
principal_specification
: USER user
| ROLE role
 
priv_type
: INSERT | SELECT | UPDATE | DELETE | ALL
 
如果一个用户被赋予某表/视图的权限时曾指定“WITH GRANT OPTION”,则该用户可以将得到的某表/视图的权限赋予/回收给其它用户或角色。
 
注意:回收权限时,CASCADE在当前版本中是不被支持的,即仅能回收指定用户或角色的权限,通过这些用户或角色赋予出去的权限则没有被回收。
 
Show Grant
 
SHOW GRANT [principal_name] ON (ALL| ([TABLE] table_or_view_name)
 
principal_name为用户或角色名称。
 
 
附:Hive操作权限列表  

Codes

Y:  Privilege required.

Y + G:  Privilege "WITH GRANT OPTION" required.

Action Select Insert Update Delete Ownership Admin URI Privilege (RWX Permission + Ownership)
CREATE TABLE         Y (of database)   Y  (for create external table – the location)
DROP TABLE         Y    
DESCRIBE TABLE Y            
SHOW PARTITIONS Y            
ALTER TABLE LOCATION         Y   Y (for new location)
ALTER PARTITION LOCATION         Y   Y (for new partition location)
ALTER TABLE ADD PARTITION   Y         Y (for partition location)
ALTER TABLE DROP PARTITION       Y      
ALTER TABLE (all of them except the ones above)         Y    
TRUNCATE TABLE         Y    
CREATE VIEW Y + G            
ALTER VIEW PROPERTIES         Y    
ALTER VIEW RENAME         Y    
DROP VIEW PROPERTIES         Y    
DROP VIEW         Y    
ANALYZE TABLE Y Y          
SHOW COLUMNS Y            
SHOW TABLE STATUS Y            
SHOW TABLE PROPERTIES Y            
CREATE TABLE AS SELECT Y (of input)       Y (of database)    
CREATE INDEX         Y (of table)    
DROP INDEX         Y    
ALTER INDEX REBUILD         Y    
ALTER INDEX PROPERTIES         Y    
SELECT Y            
INSERT   Y   Y (for OVERWRITE)      
UPDATE     Y        
DELETE       Y      
LOAD   Y (output)   Y (output)     Y (input location)
SHOW CREATE TABLE Y+G            
CREATE FUNCTION           Y  
DROP FUNCTION           Y  
CREATE MACRO           Y  
DROP MACRO           Y  
MSCK (metastore check)           Y  
ALTER DATABASE           Y  
CREATE DATABASE             Y (if custom location specified)
EXPLAIN Y            
DROP DATABASE         Y    
 

你可能感兴趣的:(SQL Standard Based Hive Authorization(基于SQL标准的Hive授权))