MRS集群服务启用Ranger鉴权

操作场景

Ranger组件通过PBAC（policy-based access control，基于策略的权限控制）方式进行权限管理，可对HDFS、Hive、HBase等组件进行更加细粒度的数据访问控制。

MRS集群内的组件同时只支持一种权限控制机制，当组件启用Ranger权限控制策略后，通过Manager创建的角色中关于该组件的权限将失效（HDFS与Yarn的组件ACL规则仍将生效），用户需通过Ranger管理界面添加策略进行资源的赋权。

开启了Kerberos认证的MRS集群内的组件通常默认即开启了Ranger鉴权，未开启Kerberos认证的集群内的组件则默认未开启Ranger鉴权。

集群管理员可以手动配置组件是否启用Ranger鉴权。

约束与限制

• 安全模式集群中支持Ranger的组件包括：CDL、HDFS、Yarn、HBase、Hive、Spark2x、Kafka、HetuEngine。
• 普通模式集群中支持Ranger的组件包括：HDFS、Yarn、HBase、Hive、Spark2x、HetuEngine。

操作步骤

1. 登录MRS集群的Manager页面，具体请参见访问集群Manager。选择“集群 > 服务 > 需要启用Ranger鉴权的服务名称”。
2. 在服务“概览”页面右上角单击“更多”，选择“启用Ranger鉴权”。在弹出的对话框中输入密码，单击“确定”，操作成功后单击“完成”。
   

   • 如果“启用Ranger鉴权”是灰色，表示该组件已开启Ranger鉴权，如图1所示。
   • 已启用Ranger授权的组件（HDFS与Yarn除外），Manager上非系统默认角色的权限将无法生效，需要通过配置Ranger策略为用户组赋权。
   图1 启用Ranger鉴权
   

3. 修改了Ranger鉴权配置后，组件的配置会过期，在“概览”页面继续重启或者滚动重启组件，以使配置生效。

相关文档

• 组件启用Ranger鉴权后，集群管理员可进入Ranger WebUI界面，配置相关资源权限策略，请参考登录Ranger WebUI界面。
• 更多关于MRS集群用户鉴权策略的说明，请参考MRS集群用户鉴权策略。
• 各组件资源的Ranger权限配置示例，请参考Ranger权限策略配置示例。