配置资源的策略
在“基于资源策略服务管理器”中,单击服务名称,可以查看服务关联的策略。该服务的策略将显示在一个列表中,并附带一个搜索框。
•为服务添加一个新的基于资源的策略,单击add new policy。
•要编辑基于资源的策略,单击该服务条目右侧的edit图标()。编辑策略设置,然后单击Save保存更改。
•要删除基于资源的策略,单击该服务入口右侧的delete图标()
配置资源策略:HBase
如何为已有的HBase服务添加新的策略
- 在“服务管理器”页面中,选择一个已经存在的HBase服务。
出现“策略列表”页面。 - 单击“添加新策略”。
系统显示“创建策略”页面
- 按照如下步骤完成“创建策略”页面
表一:策略细节
| 标签 | 描述 |
|---|---|
| Policy Name | 输入适当的策略名称。此名称不能在系统中重复。该字段为必填项。 |
| normal/override | 允许您指定覆盖策略。选择“覆盖”时,策略中的访问权限将覆盖已有策略中的访问权限。该特性可与“添加有效期”一起使用,创建覆盖现有策略的临时访问策略。 |
| HBase Table | 选择适当的数据库。可以为一个特定的策略选择多个数据库。该字段为必填项。 |
| HBase Column-family | 对于选定的表,指定策略应用到的列族。 |
| HBase Column | 对于选定的表和列族,指定策略应用到的列。 |
| Description | (可选)描述本策略的目的 |
| Audit Logging | 指定是否审计此策略。(取消选择,禁用审计)。 |
| Policy Label | 为该策略指定一个标签。您可以根据这些标签搜索报表和筛选策略。 |
| Add Validity Period | 指定策略的开始和结束时间。 |
表二:允许条件
| 标签 | 描述 |
|---|---|
| Select Group | 指定应用此策略的组。要将一个组指定为管理员,请选中“委派管理员”复选框。管理员可以编辑或删除策略,也可以在原始策略的基础上创建子策略。public组包含所有用户,因此授予对public组的访问权限将授予所有用户的访问权限。 |
| Select User | 指定应用此策略的用户。若要将用户指定为管理员,请选中“委派管理员”复选框。管理员可以编辑或删除策略,也可以在原始策略的基础上创建子策略。 |
| Permissions | 添加或编辑权限:读、写、创建、管理、选择/取消选择所有。 |
| Delegate Admin | 您可以使用Delegate Admin为策略中指定的用户或组分配管理员权限。管理员可以编辑或删除策略,也可以在原始策略的基础上创建子策略。 |
- 您可以使用加号(+)来添加额外的条件。条件按照策略中列出的顺序进行评估。首先应用列表顶部的条件,然后是第二个条件,然后是第三个条件,依次类推。
- 单击Add。
接下来需要做的
从命令行提供用户对HBase数据库表的访问HBase提供了从命令行直接管理用户对HBase数据库表的访问的方法。最常用的命令有:
- 授予
语法:
grant '<user-or-group>','<permissions>','<table>
例如,要创建一个策略,授予user1对usertable表的读写权限,该命令将是:
grant 'user1','RW','usertable'
授予CREATE和ADMIN权限的语法是相同的。
- 撤销
语法
revoke '<user-or-group>','<usertable>'
例如,要撤销user1对usertable表的读写访问权限,命令如下:
revoke 'user1','usertable'
注意:
与Hive不同,HBase没有针对每个用户权限的特定的revoke命令。
配置资源策略:HDFS
如何向已有的HDFS服务添加新的策略。
关于这个任务
通过配置,Apache Ranger允许对用户请求检查Ranger策略和HDFS权限。当NameNode收到用户请求时,Ranger插件检查通过Ranger服务管理器设置的策略。如果没有策略,Ranger插件将检查在HDFS中设置的权限。
我们建议在Ranger Service Manager中创建权限,并在HDFS级别上具有限制权限。
过程
- 在“服务管理器”界面,选择已存在的HDFS服务。
出现“策略列表”页面。 - 单击“添加新策略”。
系统显示“创建策略”页面。
3.按照如下步骤完成“创建策略”页面:
| 字段 | 描述 |
|---|---|
| Policy Name | 策略名称为该策略输入唯一的名称。该名称在系统中的任何位置都不能重复。 |
| normal/override | 允许您指定覆盖策略。选择“覆盖”时,策略中的访问权限将覆盖已有策略中的访问权限。该特性可与“添加有效期”一起使用,创建覆盖现有策略的临时访问策略。 |
| Resource Path | 定义策略文件夹/文件的资源路径。默认递归设置指定资源路径是递归的;还可以指定非递归路径。 |
| Description | (可选)描述本政策的目的。 |
| Audit Logging | 指定是否审计此策略。(取消选择,禁用审计)。 |
| Policy Label | 为该策略指定一个标签。您可以根据这些标签搜索报表和筛选策略。 |
| Add Validity Period | 指定策略的开始和结束时间 |
允许的条件下
| 标签 | 描述 |
|---|---|
| Select Group | 指定应用此策略的组。要将一个组指定为管理员,请选中“委派管理员”复选框。管理员可以编辑或删除策略,也可以在原始策略的基础上创建子策略。public组包含所有用户,因此授予对public组的访问权限将授予所有用户的访问权限。 |
| Select User | 指定应用此策略的用户。若要将用户指定为管理员,请选中“委派管理员”复选框。管理员可以编辑或删除策略,也可以在原始策略的基础上创建子策略。 |
| Permissions | 添加或编辑权限:读、写、执行、全选/取消全选。 |
| Delegate Admin | 您可以使用Delegate Admin为策略中指定的用户或组分配管理员权限。管理员可以编辑或删除策略,也可以在原始策略的基础上创建子策略。 |
- 您可以使用加号(+)来添加额外的条件。条件按照策略中列出的顺序进行评估。首先应用列表顶部的条件,然后是第二个条件,然后是第三个条件,依次类推。
- 单击Add。