探索Hive用户权限(一):用户及库表权限
文章目录
前言
一、hive用户授权机制
二、Hive安全配置
三、代码实现:只允许特定用户登录客户端均能对hive集群的库表进行授权的操作
四、示例
前言
本文主要论述hive的用户及表安全配置,涉及到点主要有:hive的用户授权机制、hive安全配置、hive用户与linux用户关系以及通过代码实现特定用户登录客户端对hive集群的库表进行授权的操作。
一、hive用户授权机制
大家知道hive把元数据存储在metastore数据库中,一般都是mysql库中。metastore库中主要存储hive的库、表、分区、用户、角色等信息。比如:db_privs:记录了用户/角色在库上的权限,tbl_privs:记录了用户/角色在ge上的权限,tbl_col_privs:记录了用户/角色在表字段上的权限,tbls:记录了所有表信息。从元数据库中可以看出Hive是通过存储在元数据中的信息来管理用户权限,或者说是基于GRANT/REVOKE的授权机制。hive的数据分为元数据和数据文件两部分,元数据存储在metastore数据库中,而数据文件则存储在HDFS,控制元数据即控制可访问的数据文件。
Hive的用户是如何产生的?hive用户就是linux的用户,hive本身没有用户管理,只提供权限管理(这一点与hadoop类似)。
二、Hive安全配置
在Hive的配置文件hive-site.xml中加入以下配置:
hive.security.authorization.enabled
true
true
hive.metastore.execute.setugi
true
hive.metastore.authorization.storage.checks
true
true
hive.security.authorization.createtable.owner.grants
ALL
true
hive.users.in.admin.role
hdfs
hive.security.authorization.manager org.apache.hadoop.hive.ql.security.authorization.DefaultHiveAuthorizationProvider
hive.security.authenticator.manager
org.apache.hadoop.hive.ql.security.HadoopDefaultAuthenticator
hive.security.metastore.authenticator.manager org.apache.hadoop.hive.ql.security.HadoopDefaultMetastoreAuthenticator
三、代码实现:只允许特定用户登录客户端均能对hive集群的库表进行授权的操作
以上配置可以开启hive的安全配置选项,但是熟悉hive的用户发现有严重安全问题:默认开启的Hive权限后,任何用户登录客户端均能对整个Hive集群的库表进行授权操作,为了限制能进行grant操作的用户,所以需要在hive-site.xml加入如下配置:
hive.semantic.analyzer.hook
com.costom.hive.AuthHook
com.costom.hive.AuthHook类的实现如下:
package com.costom.hive;
import java.util.ArrayList;
import java.util.List;
import org.antlr.runtime.Token;
import org.apache.hadoop.hive.ql.parse.ASTNode;
import org.apache.hadoop.hive.ql.parse.AbstractSemanticAnalyzerHook;
import org.apache.hadoop.hive.ql.parse.HiveSemanticAnalyzerHookContext;
import org.apache.hadoop.hive.ql.parse.SemanticException;
import org.apache.hadoop.hive.ql.session.SessionState;
public class AuthHook extends AbstractSemanticAnalyzerHook
{
private static List ADMIN_USERS = new ArrayList();
public ASTNode preAnalyze(HiveSemanticAnalyzerHookContext context, ASTNode ast)
throws SemanticException
{
switch (ast.getToken().getType()) {
case 707:
case 712:
case 740:
case 744:
case 766:
case 768:
case 890:
case 891:
String userName = null;
if ((SessionState.get() != null) &&
(SessionState.get().getAuthenticator() != null)) {
userName = SessionState.getUserFromAuthenticator();
}
if (!ADMIN_USERS.contains(userName)) {
throw new SemanticException(userName + " can't use ADMIN options, except " + ADMIN_USERS + ".");
}
break;
}
return ast;
}
static
{
ADMIN_USERS.add("hdfs");
ADMIN_USERS.add("yarn");
}
} 上面的文件如果是maven项目,下面是依赖的pom.xml文件:
4.0.0
com.jd.jrjt.hive
hive-hook
1.0-SNAPSHOT
org.apache.hive
hive-exec
2.3.3
将上面的项目打包成jar包,再将自定义jar包传到hive集群及客户端的所有机器的$HIVE_HOME/lib路径下。
com.costom.hive.AuthHook中默认指定了: hdfs、yarn两个用户在客户端中有grant的权限,如果想配置其它的用户,自定修改jar包并上传到hive lib路径下,重启hive metastore和HiveServer2即可。
四、示例
引入上面的安全配置和jar包,就可以用hdfs和yarn给用户授权,现在通过hive cli来演示一下示例。(以下命令linux用户为hdfs)
hive> show grant user cln;//结果显示没有任意库表权限
OK
Time taken: 0.119 seconds
hive> grant select on database sdm to user cln;//用hdfs给用户cln赋库sdm的select权限
OK
Time taken: 0.173 seconds
hive> grant select on table sdm.sdm_test_i_d to user cln;//用hdfs给用户cln赋表sdm_test_i_d的select权限
OK
Time taken: 0.402 seconds
hive> show grant user cln;//再次查询用户cln有库sdm及表sdm_test_i_d的select权限
sdm cln USER SELECT false 1627031431000 hdfs
sdm sdm_test_i_d cln USER SELECT false 1627031483000 hdfs
Time taken: 0.082 seconds, Fetched: 2 row(s)以上示例展示了hdfs用户给cln用户赋权的过程(主要看注释),结果hdfs用户成功给cln用户赋了库表权限。
限制用户的GRANT/REVOKE授权及用户的库表权限后,用户不能随意授权,也不能随意访问没有权限的表。但用beeline连接hiveserver2仍然出现任意用户可以随意操作hive集群的情况,我的另一篇文章继续探讨HiveServer2安全访问Hive,请关注。