添加OBS文件的Ranger访问权限策略
操作场景
Ranger管理员可以通过Ranger为OBS用户配置OBS目录或文件的读、写权限。
约束与限制
本章节仅适用于MRS 3.3.0-LTS及之后版本。
前提条件
- 集群中已安装Ranger服务且服务运行正常。
- 集群中已创建需要配置权限的用户、用户组或Role,如果是新创建的用户,需等待用户自动同步至Ranger后才可以配置相关权限策略。
- 集群中已安装Guardian服务且服务运行正常。
添加OBS文件的Ranger访问权限策略
- 使用Ranger管理员用户登录Ranger WebUI页面,具体操作可参考登录Ranger WebUI界面。
- 在首页中单击“EXTERNAL AUTHORIZATION”区域的组件插件名称“OBS”。
- 单击“Add New Policy”,添加OBS权限控制策略。
- 根据业务需求配置相关参数。
表1 OBS权限参数 参数名称
描述
Policy Name
策略名称,可自定义,不能与本服务内其他策略名称重复。
Policy Label
为当前策略指定一个标签,可以根据这些标签搜索报告和筛选策略。
Resource Path
资源路径,配置当前策略适用的OBS路径文件夹,可填写多个值,不支持使用通配符“*”。
配置的OBS路径文件夹必须是已存在的,否则会授权失败。
OBS默认开启权限的递归(且不支持修改),无任何权限的子目录会默认继承父目录所有的权限。
Description
策略描述信息。
Audit Logging
该策略命中时是否生成审计日志。
- Yes:当用户触发该策略的权限校验时,无论校验结果是允许(Allow)还是拒绝(Deny),会生成一条审计日志。
- No:当用户触发该策略的权限校验时,不会生成任何审计日志。
Allow Conditions
策略允许条件,配置本策略内允许的权限。
“Select Group”列选择已创建好的需要授予权限的用户组(配置“Select Role”和“Select User”将不会生效)。
单击“Add Permissions”,添加对应权限。
- Read:读权限
- Write:写权限
- Select/Deselect All:全选/取消全选
如需添加多条权限控制规则,可单击
按钮添加。如需删除权限控制规则,可单击
按钮删除。例如,为用户组“hs_group1”(该用户组仅由数字0~9、字母a~Z、下划线或#组成,且最大长度为52个字符,否则将导致策略添加失败)添加“obs://hs-test/user/hive/warehouse/o4”表的读写权限,配置如下:
图1 OBS目录权限配置示例
- 单击“Add”,在策略列表可查看策略的基本信息。等待策略生效后,验证相关权限是否正常。
如果不再使用策略,可单击
按钮删除策略。
配置Ranger访问OBS资源的标签数量
安装MRS 3.3.0-LTS.1.2补丁后,可以通过配置Ranger的参数“obs.max.access.label”设置访问OBS资源的标签数量。
- 登录FusionInsight Manager系统。
详细操作请参考访问集群Manager。
- 选择“集群 > 服务 > Ranger > 配置 > 全部配置 > RangerAdmin(角色) > 自定义”。
- 在参数“ranger.admin.config.expandor”中添加如下自定义配置“obs.max.access.label”值为“1024”。
配置“obs.max.access.label”值默认为“512”,用户可以根据实际业务需求配置。
- 单击“保存”,保存配置。
- 在Ranger服务概览页面,选择“更多 > 重启服务/滚动重启服务”,验证管理员密码后,等待服务重启成功。
组件重启期间将无法对外提供服务,可能会影响集群的上层业务正常运行,请在业务空闲期或确认操作无影响后再执行本操作。
相关文档
- 配置Ranger策略时,不同条件的优先级可参考Ranger权限策略条件判断优先级。
- 如需查看Ranger中的相关权限设置对象信息,例如用户、用户组、Role,可参考查看Ranger用户权限同步信息。
- MRS集群中新用户可在Manager中进行创建,可参考创建MRS集群用户。