Modelo de derecho
Control de acceso basado en roles
FusionInsight adopta el modo de control de acceso basado en roles (RBAC) para gestionar los derechos en el sistema de big data. Integra las funciones de gestión correctas de los componentes para gestionar de forma centralizada los derechos. Los usuarios comunes están protegidos de los detalles internos de gestión de derechos, y las operaciones de gestión correctas se simplifican para los administradores, mejorando la usabilidad y la experiencia del usuario de la gestión correctas.
El modelo correcto de FusionInsight consta de cuatro partes, es decir, usuarios, grupos de usuarios, roles y derechos.
- Derecho
Derecho, que está definida por componentes, permite a los usuarios acceder a un determinado recurso de un componente. Diferentes componentes tienen derechos diferentes para sus recursos.
Por ejemplo:
- HDFS proporciona permisos de lectura, escritura y ejecución en archivos.
- HBase proporciona permisos de creación, lectura y escritura en tablas.
- Rol
El rol es un conjunto de derechos de componente. Cada rol puede tener varios derechos de varios componentes. Diferentes roles pueden tener los derechos de un recurso de un componente.
- Grupo de usuario
El grupo de usuarios es una colección de usuarios. Cuando un grupo de usuarios está enlazado a un rol, los usuarios de este grupo obtienen los derechos definidos por el rol.
Se pueden asociar diferentes grupos de usuarios con el mismo rol. Un grupo de usuarios también puede estar asociado con ningún rol, y este grupo de usuarios no tiene los derechos de ningún recurso de componente.
En algunos componentes, el sistema otorga derechos relacionados a grupos de usuarios específicos de forma predeterminada.
- Usuario
Un usuario es un visitante del sistema. Cada usuario tiene los derechos del grupo de usuarios y el rol asociado al usuario. Los usuarios deben agregarse al grupo de usuarios o asociarse con roles para obtener los derechos correspondientes.
Control de acceso basado en políticas
El componente Ranger utiliza el control de acceso basado en políticas (PBAC) para gestionar derechos e implementar un control de acceso a datos detallado en componentes como HDFS, Hive y HBase.
El componente solo soporta un mecanismo de control correcto. Una vez habilitada la política de control de derechos de Ranger para el componente, el derecho del componente en el rol creado en FusionInsight Manager no es válido (Las reglas ACL de HDFS y Yarn todavía entran en vigor). Debe agregar una política en la página de gestión de Ranger para conceder derechos sobre los recursos.
El modelo de derecho de Ranger consta de varias políticas correctas. Una política correcta consta de las siguientes partes:
- Recurso
Los recursos son proporcionados por componentes y los usuarios pueden acceder a ellos, como archivos o carpetas HDFS, colas en Yarn y bases de datos, tablas y columnas en Hive.
- Usuario
Un usuario es un visitante del sistema. Los derechos de cada usuario se obtienen en base a la política asociada al usuario. La información sobre usuarios, grupos de usuarios y roles en LDAP se sincroniza periódicamente con el Ranger.
- Permiso
En una política, puede configurar varias condiciones de acceso para los recursos, como lectura y escritura de archivos, condiciones de permiso, condiciones de rechazo y condiciones de excepción.
