更新时间:2023-11-01 GMT+08:00
HetuEngine权限管理概述
MRS 3.3.0以前版本,HetuEngine在安全模式集群下支持权限管控,在非安全模式下不会进行权限管控。
MRS 3.3.0及以后版本,HetuEngine在集群已启用Kerberos认证(安全模式)时提供了如下两种权限管控方式,默认使用Ranger权限模型;在集群未启用Kerberos认证(普通模式)时提供了Ranger权限模型,默认未开启Ranger权限模型:
在安全模式下,HetuEngine提供了如下两种权限管控方式,默认使用Ranger权限模型:
- Ranger权限管控方式,可参考HetuEngine基于Ranger权限管控。
- Metastore权限管控方式,可参考HetuEngine基于MetaStore权限管控。
Ranger和MetaStore的差异见下表,两者都支持用户、用户组以及角色的鉴权。
权限管控方式 |
权限模型 |
支持的数据源 |
描述 |
|---|---|---|---|
Ranger |
PBAC |
Hive、HBase、Elasticsearch、GaussDB、HetuEngine、ClickHouse |
支持行过滤、列脱敏以及更细粒度的权限管控 |
MetaStore |
RBAC |
Hive |
- |
权限原则与约束
- HetuEngine访问同集群数据源。
HetuEngine启用Ranger鉴权,则统一使用Ranger的PBAC权限策略做鉴权。
HetuEngine停用Ranger鉴权,则统一使用MetaStore的RBAC权限策略做鉴权。
- HetuEngine访问跨集群数据源。
同时受HetuEngine端权限和数据源端权限管控(Hive场景下,依赖于HDFS)。
- 查询视图时,仅需给目标视图授予select权限即可;使用视图联表查询时,需要同时给两者授予select权限。
HetuEngine服务在切换权限控制类型时,需要重启整个HetuEngine服务,包括HSConsole页面上正在运行的HetuEngine计算实例。
父主题: HetuEngine权限管理
