使用HUE
使用sentry管理员登录hue,如hive用户
选择server1,点选click here to add some
输入角色名字admin,要赋予的组名prod_cdh_admins,选择ALL表示授予server1的全部权限,选择with grant表示该角色可以给其他角色授权。
在hue中没有hive组,因此无法将权限授予hive组,如只想授权给hive组,需要在hue中建立hive组或在ldap上建立hive组后同步到hue,添加方式可参考HUE用户添加
刷新权限
- 库级别授权
使用hive用户创建一个对default库有只读(SELECT)权限的角色defaultread,并授权给prod_cdh_users用户组,所属该用户组的用户对default库下所有表只有SECLET权限没有INSERT权限。
确认prod_cdh_users用户组没有其他权限,如果有其他角色权限可以使用revoke
role命令取消授权
| --- 取消授权 revoke role defaultread from group prod_cdh_users; --- 显示所有权限,确认为空 SHOW ROLE GRANT GROUP prod_cdh_users; |
命令行方式
在beeline命令行中运行以下命令
| --- 创建defaultread角色 create role defaultread; --- 给defaultread角色赋予所有权限 grant select on database default to role defaultread; --- 将defaultread角色赋予prod_cdh_users组 grant role defaultread to group prod_cdh_users;
|
HUE方式
使用sentry管理员登录hue,如hive用户
选择default,点选click here to add some
输入角色名字defaultread,要赋予的组名prod_cdh_users,自动选择default库,选择SELECT表示授予select权限。
刷新权限
- 12表级别授权
使用hive用户创建一个对default库下sample_07表有所有(ALL)操作权限的角色sample07all,并授权给prod_cdh_users用户组,所属该用户组下的所有用户能对default.sample_07表执行所有操作。
确认prod_cdh_users用户组没有其他权限,如果有其他角色权限可以使用revoke role命令取消授权
| --- 取消授权 revoke role defaultread from group prod_cdh_users; --- 显示所有权限,确认为空 SHOW ROLE GRANT GROUP prod_cdh_users; |
命令行方式
使用sentry管理员认证,使用beeline连接hive或使用impala-shell连接impala,以beeline为例
在beeline命令行中运行以下命令
| --- 创建sample07all角色 create role sample07all; --- 给sample07all角色赋予default库sample_07表的权限 grant all on table default.sample_07 to role sample07all; --- 将sample07all角色赋予prod_cdh_users组 grant role sample07all to group prod_cdh_users; |
使用HUE
使用sentry管理员登录hue,如hive用户
选择default库下的sample07表,点选click here to add some
输入角色名字sample07all,要赋予的组名prod_cdh_users,自动选择default.sample_07表,选择ALL表示授予所有权限。
注意:
- hue用户管理界面下添加的用户组,和Sentry里面授权的组没有直接关系;
- Sentry里面分配角色权限的组和Linux里面的组关联;
- 当我们添加完hue用户和组时,一般在linux相应这么添加,如下命令
3.1. 新增加一个用户并将其列入一个已有的用户组中:adduser -g 组 用户;
3.2. 一个已有用户追加到一个已有用户组:usermod -a -G 组 用户;
3.3. 直接修改组usermod -g 组 用户,上面的-a代表 append。