探索Hive用户权限(一):用户及库表权限

文章目录

前言

一、hive用户授权机制

二、Hive安全配置

三、代码实现:只允许特定用户登录客户端均能对hive集群的库表进行授权的操作

四、示例


前言

本文主要论述hive的用户及表安全配置,涉及到点主要有:hive的用户授权机制、hive安全配置、hive用户与linux用户关系以及通过代码实现特定用户登录客户端对hive集群的库表进行授权的操作。

一、hive用户授权机制

大家知道hive把元数据存储在metastore数据库中,一般都是mysql库中。metastore库中主要存储hive的库、表、分区、用户、角色等信息。比如:db_privs:记录了用户/角色在库上的权限,tbl_privs:记录了用户/角色在ge上的权限,tbl_col_privs:记录了用户/角色在表字段上的权限,tbls:记录了所有表信息。从元数据库中可以看出Hive是通过存储在元数据中的信息来管理用户权限,或者说是基于GRANT/REVOKE的授权机制。hive的数据分为元数据和数据文件两部分,元数据存储在metastore数据库中,而数据文件则存储在HDFS,控制元数据即控制可访问的数据文件。

Hive的用户是如何产生的?hive用户就是linux的用户,hive本身没有用户管理,只提供权限管理(这一点与hadoop类似)。

二、Hive安全配置

在Hive的配置文件hive-site.xml中加入以下配置:

        hive.security.authorization.enabled

        true

        true

        hive.metastore.execute.setugi

        true

 

        hive.metastore.authorization.storage.checks

        true

        true

 

 

        hive.security.authorization.createtable.owner.grants

        ALL

        true

        hive.users.in.admin.role

        hdfs

 

 hive.security.authorization.manager                org.apache.hadoop.hive.ql.security.authorization.DefaultHiveAuthorizationProvider

        hive.security.authenticator.manager

        org.apache.hadoop.hive.ql.security.HadoopDefaultAuthenticator

 

       hive.security.metastore.authenticator.manager        org.apache.hadoop.hive.ql.security.HadoopDefaultMetastoreAuthenticator

三、代码实现:只允许特定用户登录客户端均能对hive集群的库表进行授权的操作

以上配置可以开启hive的安全配置选项,但是熟悉hive的用户发现有严重安全问题:默认开启的Hive权限后,任何用户登录客户端均能对整个Hive集群的库表进行授权操作,为了限制能进行grant操作的用户,所以需要在hive-site.xml加入如下配置:

        hive.semantic.analyzer.hook

        com.costom.hive.AuthHook

com.costom.hive.AuthHook类的实现如下:

package com.costom.hive;

import java.util.ArrayList;
import java.util.List;
import org.antlr.runtime.Token;
import org.apache.hadoop.hive.ql.parse.ASTNode;
import org.apache.hadoop.hive.ql.parse.AbstractSemanticAnalyzerHook;
import org.apache.hadoop.hive.ql.parse.HiveSemanticAnalyzerHookContext;
import org.apache.hadoop.hive.ql.parse.SemanticException;
import org.apache.hadoop.hive.ql.session.SessionState;

public class AuthHook extends AbstractSemanticAnalyzerHook
{
  private static List ADMIN_USERS = new ArrayList();

  public ASTNode preAnalyze(HiveSemanticAnalyzerHookContext context, ASTNode ast)
    throws SemanticException
  {
    switch (ast.getToken().getType()) {
    case 707:
    case 712:
    case 740:
    case 744:
    case 766:
    case 768:
    case 890:
    case 891:
      String userName = null;
      if ((SessionState.get() != null) && 
        (SessionState.get().getAuthenticator() != null)) {
        userName = SessionState.getUserFromAuthenticator();
      }
      if (!ADMIN_USERS.contains(userName)) {
        throw new SemanticException(userName + " can't use ADMIN options, except " + ADMIN_USERS + ".");
      }

      break;
    }

    return ast;
  }

  static
  {
    ADMIN_USERS.add("hdfs");
    ADMIN_USERS.add("yarn");
  }
}

上面的文件如果是maven项目,下面是依赖的pom.xml文件:



    4.0.0
    com.jd.jrjt.hive
    hive-hook
    1.0-SNAPSHOT
    
        
            org.apache.hive
            hive-exec
            2.3.3
        
    

将上面的项目打包成jar包,再将自定义jar包传到hive集群及客户端的所有机器的$HIVE_HOME/lib路径下。

com.costom.hive.AuthHook中默认指定了: hdfs、yarn两个用户在客户端中有grant的权限,如果想配置其它的用户,自定修改jar包并上传到hive lib路径下,重启hive metastore和HiveServer2即可。

四、示例

引入上面的安全配置和jar包,就可以用hdfs和yarn给用户授权,现在通过hive cli来演示一下示例。(以下命令linux用户为hdfs

hive> show grant user cln;//结果显示没有任意库表权限
OK
Time taken: 0.119 seconds
hive> grant select on database sdm to user cln;//用hdfs给用户cln赋库sdm的select权限
OK
Time taken: 0.173 seconds
hive> grant select on table sdm.sdm_test_i_d to user cln;//用hdfs给用户cln赋表sdm_test_i_d的select权限
OK
Time taken: 0.402 seconds
hive> show grant user cln;//再次查询用户cln有库sdm及表sdm_test_i_d的select权限
sdm                             cln      USER    SELECT  false   1627031431000   hdfs
sdm     sdm_test_i_d                    cln      USER    SELECT  false   1627031483000   hdfs
Time taken: 0.082 seconds, Fetched: 2 row(s)

以上示例展示了hdfs用户给cln用户赋权的过程(主要看注释),结果hdfs用户成功给cln用户赋了库表权限。

限制用户的GRANT/REVOKE授权及用户的库表权限后,用户不能随意授权,也不能随意访问没有权限的表。但用beeline连接hiveserver2仍然出现任意用户可以随意操作hive集群的情况,我的另一篇文章继续探讨HiveServer2安全访问Hive,请关注。

你可能感兴趣的:(大数据,hive)