添加Storm的Ranger访问权限策略

操作场景

Ranger管理员可通过Ranger为Storm用户进行相关的权限设置。

前提条件

• 已安装Ranger服务且服务运行正常。
• 已创建用户需要配置权限的用户、用户组或Role。
• 页面已启用Ranger鉴权开关，该按钮控制是否启用Ranger插件进行权限管控，启用则使用Ranger鉴权，否则使用组件自身鉴权机制。
  图1 启用Ranger鉴权
  

操作步骤

1. 使用Ranger管理员用户rangeradmin登录Ranger管理页面，具体操作可参考登录Ranger WebUI界面。
2. 在首页中单击“STORM”区域的“Storm”。
3. 单击“Add New Policy”，添加Storm权限控制策略。
4. 根据业务需求配置相关参数。

   表1 Storm权限参数

   参数名称	描述
   Policy Conditions	IP过滤策略，可自定义，配置当前策略适用的主机节点，可填写一个或多个IP或IP段，并且IP填写支持“*”通配符，例如：192.168.1.10,192.168.1.20或者192.168.1.*。
   Policy Name	策略名称，可自定义，不能与本服务内其他策略名称重复。 “include”策略适用于当前输入的对象，“exclude”表示策略适用于除去当前输入内容之外的其他对象。
   Policy Label	为当前策略指定一个标签，您可以根据这些标签搜索报告和筛选策略。
   Storm Topology	配置当前策略适用的拓扑名称。可以填写多个值。
   Description	策略描述信息。
   Audit Logging	是否审计此策略。
   Allow Conditions	策略允许条件，配置本策略内允许的权限及例外。 在“Select Role”、“Select Group”、“Select User”列选择已创建好的需要授予权限的Role、用户组或用户，单击“Add Conditions”，添加策略适用的IP地址范围，单击“Add Permissions”，添加对应权限。 Submit Topology：提交拓扑。 说明： Submit Topology权限只有在Storm Topology为*的情况下可以赋权生效。 File Upload：文件上传。 File Download：文件下载。 Kill Topology：删除拓扑。 Rebalance：Rebalance操作权限。 Activate：激活权限。 Deactivate：去激活权限。 Get Topology Conf：获取拓扑配置。 Get Topology：获取拓扑。 Get User Topology：获取用户拓扑。 Get Topology Info：获取拓扑信息。 Upload New Credential：上传新的凭证。 Select/Deselect All：全选/取消全选。 如需添加多条权限控制规则，可单击按钮添加。 如需当前条件中的用户或用户组管理本条策略，可勾选“Delegate Admin”，这些用户将成为受委托的管理员。被委托的管理员可以更新、删除本策略，它还可以基于原始策略创建子策略。
   Deny Conditions	策略拒绝条件，配置本策略内拒绝的权限及例外，配置方法与“Allow Conditions”类似。

5. （可选）添加策略有效期。在页面右上角单击“Add Validity period”，设置“Start Time”和“End Time”，选择“Time Zone”。单击“Save”保存。如需添加多条策略有效期，可单击按钮添加。如需删除策略有效期，可单击按钮删除。
6. 单击“Add”，在策略列表可查看策略的基本信息。等待策略生效后，验证相关权限是否正常。

   如需禁用某条策略，可单击按钮编辑策略，设置策略开关为“Disabled”。

   如果不再使用策略，可单击按钮删除策略。