添加CDL的Ranger访问权限策略

操作场景

Ranger管理员可通过Ranger为CDL用户配置创建、执行、查询、删除权限。

前提条件

已安装Ranger服务且服务运行正常。
已创建需要配置权限的用户、用户组或Role。

操作步骤

使用Ranger管理员用户rangeradmin登录Ranger管理页面，具体操作可参考登录Ranger WebUI界面。
在首页中单击“CDL”区域的组件插件名称，例如“CDL”。
单击“Add New Policy”，添加CDL权限控制策略。

根据业务需求配置相关参数。

表1 CDL权限参数
参数名称	描述
Policy Type	Access。
Policy Conditions	IP过滤策略，可自定义，配置当前策略适用的主机节点，可填写一个或多个IP或IP段，并且IP填写支持“”通配符，例如：192.168.1.10,192.168.1.20或者192.168.1.。
Policy Name	策略名称，可自定义，不能与本服务内其他策略名称重复。
Policy Label	为当前策略指定一个标签，您可以根据这些标签搜索报告和筛选策略。
job	配置当前策略适用的job名，可以填写多个值。这里支持通配符，例如：test、test、。 “Include”策略适用于当前输入的对象，“Exclude”表示策略适用于除去当前输入内容之外的其他对象。
Description	策略描述信息。
Audit Logging	是否审计此策略。
Allow Conditions	策略允许条件，配置本策略内允许的权限及例外，例外条件优先级高于正常条件。在“Select Role”、“Select Group”、“Select User”列选择已创建好的需要授予权限的Role、用户组或用户。单击“Add Conditions”，添加策略适用的IP地址范围，单击“Add Permissions”，添加对应权限。 Create：创建权限。 Execute：执行权限。 Delete：删除权限。 Update：更新权限。 Get：获取信息权限。 Select/Deselect All：全选/取消全选。如需添加多条权限控制规则，可单击按钮添加。如需当前条件中的用户或用户组管理本条策略，可勾选“Delegate Admin”，这些用户将成为受委托的管理员。被委托的管理员可以更新、删除本策略，它还可以基于原始策略创建子策略。
Deny Conditions	策略拒绝条件，配置本策略内拒绝的权限及例外，配置方法与“Allow Conditions”类型，拒绝条件的优先级高于“Allow Conditions”中配置的允许条件。

表2 设置权限
任务场景	角色授权操作
设置CDL管理员权限	在首页中单击“CDL”区域的组件插件名称，例如“CDL”。分别选择“Policy Name”为“all - job”、“all - link”、“all - driver”、“all - env”的策略，单击按钮编辑策略。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Select/Deselect All”。
设置用户对CDL作业的所有管理权限	在“job”选择CDL作业名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Select/Deselect All”。
设置用户对CDL作业的创建权限	在“job”选择CDL作业名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Create”。说明：默认场景下，所有用户均具有“Create”权限。
设置用户对CDL作业的删除权限	在“job”选择CDL作业名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Delete”。
设置用户对CDL作业的信息获取权限	在“job”选择CDL作业名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Get”。
设置用户对CDL作业的执行权限	在“job”选择CDL作业名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Execute”。
设置用户对CDL数据连接的所有管理权限	在“link”右侧选择CDL数据连接名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Select/Deselect All”。
设置用户对CDL数据连接的创建权限	在“link”右侧选择CDL数据连接名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Create”。说明：默认场景下，所有用户均具有“Create”权限。
设置用户对CDL数据连接的删除权限	在“link”右侧选择CDL数据连接名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Delete”。
设置用户对CDL数据连接的更新权限	在“link”右侧选择CDL数据连接名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Update”。
设置用户对CDL数据连接的信息获取权限	在“link”右侧选择CDL数据连接名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Get”。
设置用户对CDL驱动的所有管理权限	在“driver”右侧选择CDL驱动名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Select/Deselect All”。
设置用户对CDL驱动的删除权限	在“driver”右侧选择CDL驱动名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Delete”。
设置用户对CDL驱动的更新权限	在“driver”右侧选择CDL驱动名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Update”。
设置用户对CDL驱动的信息获取权限	在“driver”右侧选择CDL驱动名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Get”。
设置用户对CDL环境变量的所有管理权限	在“env”右侧选择CDL环境变量名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Select/Deselect All”。
设置用户对CDL环境变量的创建权限	在“env”右侧选择CDL环境变量名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Create”。说明：默认场景下，所有用户均具有“Create”权限。
设置用户对CDL环境变量的删除权限	在“env”右侧选择CDL环境变量名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Delete”。
设置用户对CDL环境变量的更新权限	在“env”右侧选择CDL环境变量名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Update”。
设置用户对CDL环境变量的信息获取权限	在“env”右侧选择CDL环境变量名。在“Allow Conditions”区域，单击“Select User”下选择框选择用户。单击“Add Permissions”，勾选“Get”。

（可选）添加策略有效期。在页面右上角单击“Add Validity period”，设置“Start Time”和“End Time”，选择“Time Zone”。单击“Save”保存。如需添加多条策略有效期，可单击按钮添加。如需删除策略有效期，可单击按钮删除。
单击“Add”，在策略列表可查看策略的基本信息。等待策略生效后，验证相关权限是否正常。

如需禁用某条策略，可单击按钮编辑策略，设置策略开关为“Disabled”。

如果不再使用策略，可单击按钮删除策略。