添加OBS的Ranger访问权限策略

操作场景

Ranger管理员可以通过Ranger为OBS用户配置OBS目录或文件的读、写权限。

本章节仅适用于MRS 3.3.0-LTS及之后版本。

前提条件

• 已安装Ranger服务且服务运行正常。
• 已创建需要配置权限的用户组。
• 已安装Guardian服务。

操作步骤

1. 使用Ranger管理员用户rangeradmin登录Ranger管理页面，具体操作可参考登录Ranger管理界面。
2. 在首页中单击“EXTERNAL AUTHORIZATION”区域的组件插件名称“OBS”。
3. 单击“Add New Policy”，添加OBS权限控制策略。
4. 根据业务需求配置相关参数。

   表1 OBS权限参数

   参数名称	描述
   Policy Name	策略名称，可自定义，不能与本服务内其他策略名称重复。
   Policy Label	为当前策略指定一个标签，可以根据这些标签搜索报告和筛选策略。
   Resource Path	资源路径，配置当前策略适用的OBS路径文件夹，可填写多个值，不支持使用通配符“*”。且配置的OBS路径文件夹必须是已存在的，否则会授权失败。 OBS默认开启权限的递归（且不支持修改），无任何权限的子目录会默认继承父目录所有的权限。
   Description	策略描述信息。
   Audit Logging	是否审计此策略。
   Allow Conditions	策略允许条件，配置本策略内允许的权限。 “Select Group”列选择已创建好的需要授予权限的用户组（配置“Select Role”和“Select User”将不会生效） 单击“Add Permissions”，添加对应权限。 Read：读权限 Write：写权限 Select/Deselect All：全选/取消全选 如需添加多条权限控制规则，可单击按钮添加。如需删除权限控制规则，可单击按钮删除。

   例如，为用户组“hs_group1”（该用户组仅由数字0~9、字母a~Z、下划线或#组成，且最大长度为52个字符，否则将导致策略添加失败）添加“obs://hs-test/user/hive/warehouse/o4”表的读写权限，配置如下：

   

5. 单击“Add”，在策略列表可查看策略的基本信息。等待策略生效后，验证相关权限是否正常。

   如果不再使用策略，可单击按钮删除策略。