添加OBS的Ranger访问权限策略
操作场景
Ranger管理员可以通过Ranger为OBS用户配置OBS目录或文件的读、写权限。
本章节仅适用于MRS 3.3.0-LTS及之后版本。
前提条件
- 已安装Ranger服务且服务运行正常。
- 已创建需要配置权限的用户组。
- 已安装Guardian服务。
操作步骤
- 使用Ranger管理员用户rangeradmin登录Ranger管理页面,具体操作可参考登录Ranger WebUI界面。
- 在首页中单击“EXTERNAL AUTHORIZATION”区域的组件插件名称“OBS”。
- 单击“Add New Policy”,添加OBS权限控制策略。
- 根据业务需求配置相关参数。
表1 OBS权限参数 参数名称
描述
Policy Name
策略名称,可自定义,不能与本服务内其他策略名称重复。
Policy Label
为当前策略指定一个标签,可以根据这些标签搜索报告和筛选策略。
Resource Path
资源路径,配置当前策略适用的OBS路径文件夹,可填写多个值,不支持使用通配符“*”。且配置的OBS路径文件夹必须是已存在的,否则会授权失败。
OBS默认开启权限的递归(且不支持修改),无任何权限的子目录会默认继承父目录所有的权限。
Description
策略描述信息。
Audit Logging
是否审计此策略。
Allow Conditions
策略允许条件,配置本策略内允许的权限。
“Select Group”列选择已创建好的需要授予权限的用户组(配置“Select Role”和“Select User”将不会生效)
单击“Add Permissions”,添加对应权限。
- Read:读权限
- Write:写权限
- Select/Deselect All:全选/取消全选
如需添加多条权限控制规则,可单击按钮添加。如需删除权限控制规则,可单击按钮删除。
例如,为用户组“hs_group1”(该用户组仅由数字0~9、字母a~Z、下划线或#组成,且最大长度为52个字符,否则将导致策略添加失败)添加“obs://hs-test/user/hive/warehouse/o4”表的读写权限,配置如下:
- 单击“Add”,在策略列表可查看策略的基本信息。等待策略生效后,验证相关权限是否正常。
如果不再使用策略,可单击按钮删除策略。