更新时间:2026-06-11 GMT+08:00
分享

添加OBS文件的Ranger访问权限策略

操作场景

Ranger管理员可以通过Ranger为OBS用户配置OBS目录或文件的读、写权限。

约束与限制

本章节仅适用于MRS 3.3.0-LTS及之后版本。

前提条件

  • 集群中已安装Ranger服务且服务运行正常。
  • 集群中已创建需要配置权限的用户、用户组或Role,如果是新创建的用户,需等待用户自动同步至Ranger后才可以配置相关权限策略。
  • 集群中已安装Guardian服务且服务运行正常。

添加OBS文件的Ranger访问权限策略

  1. 使用Ranger管理员用户登录Ranger WebUI页面,具体操作可参考登录Ranger WebUI界面
  2. 在首页中单击“EXTERNAL AUTHORIZATION”区域的组件插件名称“OBS”。
  3. 单击“Add New Policy”,添加OBS权限控制策略。
  4. 根据业务需求配置相关参数。

    表1 OBS权限参数

    参数名称

    描述

    Policy Name

    策略名称,可自定义,不能与本服务内其他策略名称重复。

    Policy Label

    为当前策略指定一个标签,可以根据这些标签搜索报告和筛选策略。

    Resource Path

    资源路径,配置当前策略适用的OBS路径文件夹,可填写多个值,不支持使用通配符“*”。

    配置的OBS路径文件夹必须是已存在的,否则会授权失败。

    OBS默认开启权限的递归(且不支持修改),无任何权限的子目录会默认继承父目录所有的权限。

    Description

    策略描述信息。

    Audit Logging

    该策略命中时是否生成审计日志。

    • Yes:当用户触发该策略的权限校验时,无论校验结果是允许(Allow)还是拒绝(Deny),会生成一条审计日志。
    • No:当用户触发该策略的权限校验时,不会生成任何审计日志。

    Allow Conditions

    策略允许条件,配置本策略内允许的权限。

    “Select Group”列选择已创建好的需要授予权限的用户组(配置“Select Role”和“Select User”将不会生效)。

    单击“Add Permissions”,添加对应权限。

    • Read:读权限
    • Write:写权限
    • Select/Deselect All:全选/取消全选

    如需添加多条权限控制规则,可单击按钮添加。如需删除权限控制规则,可单击按钮删除。

    例如,为用户组“hs_group1”(该用户组仅由数字0~9、字母a~Z、下划线或#组成,且最大长度为52个字符,否则将导致策略添加失败)添加“obs://hs-test/user/hive/warehouse/o4”表的读写权限,配置如下:

    图1 OBS目录权限配置示例

  5. 单击“Add”,在策略列表可查看策略的基本信息。等待策略生效后,验证相关权限是否正常。

    如果不再使用策略,可单击按钮删除策略。

配置Ranger访问OBS资源的标签数量

安装MRS 3.3.0-LTS.1.2补丁后,可以通过配置Ranger的参数“obs.max.access.label”设置访问OBS资源的标签数量。

  1. 登录FusionInsight Manager系统。

    详细操作请参考访问集群Manager

  2. 选择“集群 > 服务 > Ranger > 配置 > 全部配置 > RangerAdmin(角色) > 自定义”。
  3. 在参数“ranger.admin.config.expandor”中添加如下自定义配置“obs.max.access.label”值为“1024”。

    配置“obs.max.access.label”值默认为“512”,用户可以根据实际业务需求配置。

  4. 单击“保存”,保存配置。
  5. 在Ranger服务概览页面,选择“更多 > 重启服务/滚动重启服务”,验证管理员密码后,等待服务重启成功。

    组件重启期间将无法对外提供服务,可能会影响集群的上层业务正常运行,请在业务空闲期或确认操作无影响后再执行本操作。

相关文档

相关文档