更新时间:2022-12-14 GMT+08:00

配置Ranger安全区

Ranger支持配置安全区,Ranger管理员可将各组件的资源切分为多个安全区,由对应管理员用户为区域的指定资源设置安全策略,以便更好的细分资源管理。安全区中定义的策略仅适用于区域中的资源,服务的资源被划分到安全区后,非安全区针对该资源的访问权限策略将不再生效。安全区的管理员只能在其作为管理员的安全区中设置策略。

添加安全区

  1. 使用Ranger管理员登录Ranger管理界面。
  2. 单击“Security Zone”,在区域列表页面中单击,添加安全区。

    表1 安全区配置参数

    参数名称

    描述

    示例

    Zone Name

    配置安全区的名称。

    test

    Zone Description

    配置安全区的描述信息。

    -

    Admin Users/Admin Usergroups

    配置安全区的管理用户/用户组,可在安全区中添加及修改相关资源的权限策略。

    必须至少配置一个用户或用户组。

    zone_admin

    Auditor Users/

    Auditor Usergroups

    添加审计用户/用户组,可在安全区中查看相关资源权限策略内容。

    必须至少配置一个用户或用户组。

    zone_user

    Select Tag Services

    选择服务的标签信息。

    -

    Select Resource Services

    选择安全区内包含的服务及具体资源。

    在“Select Resource Services”中选择服务后,需要在“Resource”列中添加具体的资源对象,例如HDFS服务器的文件目录、Yarn的队列、Hive的数据库及表、HBase的表及列、Elasticsearch的index等。

    /testzone

    例如针对HDFS中的“/testzone”目录创建一个安全区,配置如下:

  3. 单击“Save”,等待安全区添加成功。

    Ranger管理员可在“Security Zone”页面查看当前的所有安全区并单击“Edit”修改安全区的属性信息,当相关资源不需要在安全区中进行管理时,可单击“Delete”删除对应安全区。

在安全区中配置权限策略

  1. 使用安全区管理员用户登录Ranger管理页面。
  2. 在Ranger首页右上角的“Security Zone”选项的下拉列表中选择对应的安全区,即可切换至该安全区内的权限视图。

  3. 单击组件名称下的权限插件名称,即可进入组件安全访问策略列表页面。

    各组件的策略列表中,系统默认生成的条目会自动继承至安全区内,用于保证集群内的部分系统默认用户或用户组的权限。

  4. 单击“Add New Policy”,根据业务场景规划配置相关用户或者用户组的资源访问策略。

    例如在本章节样例中,在安全区内配置一条允许“test”用户访问“/testzone/test”目录的策略:

    其他不同组件的完整访问策略配置样例参考:

    策略添加后,需等待30秒左右,待系统生效。

    • 安全区中定义的策略仅适用于区域中的资源,服务的资源被划分到安全区后,非安全区针对该资源的访问权限策略将不再生效。
    • 如需配置针对当前安全区之外其他资源的访问策略,需在Ranger首页右上角的“Security Zone”选项中退出当前安全区后进行配置。