配置Ranger安全区
Ranger支持配置安全区,管理员可将各组件的资源切分为多个安全区,由对应管理员用户为区域的指定资源设置安全策略,以便更好的细分资源管理。安全区中定义的策略仅适用于区域中的资源,服务的资源被划分到安全区后,非安全区针对该资源的访问权限策略将不再生效。安全区的管理员只能在其作为管理员的安全区中设置策略。
添加安全区
- 使用Ranger管理员登录Ranger管理界面。
- 单击“Security Zone”,在区域列表页面中单击,添加安全区。
表1 安全区配置参数 参数名称
描述
示例
Zone Name
配置安全区的名称。
test
Zone Description
配置安全区的描述信息。
-
Admin Users/Admin Usergroups
配置安全区的管理用户/用户组,可在安全区中添加及修改相关资源的权限策略。
必须至少配置一个用户或用户组。
zone_admin
Auditor Users/
Auditor Usergroups
添加审计用户/用户组,可在安全区中查看相关资源权限策略内容。
必须至少配置一个用户或用户组。
zone_user
Select Tag Services
选择服务的标签信息。
-
Select Resource Services
选择安全区内包含的服务及具体资源。
在“Select Resource Services”中选择服务后,需要在“Resource”列中添加具体的资源对象,例如HDFS服务器的文件目录、Yarn的队列、Hive的数据库及表、HBase的表及列。
/testzone
例如针对HDFS中的“/testzone”目录创建一个安全区,配置如下:
- 单击“Save”,等待安全区添加成功。
Ranger管理员可在“Security Zone”页面查看当前的所有安全区并单击“Edit”修改安全区的属性信息,当相关资源不需要在安全区中进行管理时,可单击“Delete”删除对应安全区。
在安全区中配置权限策略
- 使用安全区管理员用户登录Ranger管理页面。
- 在Ranger首页右上角的“Security Zone”选项的下拉列表中选择对应的安全区,即可切换至该安全区内的权限视图。
- 单击组件名称下的权限插件名称,即可进入组件安全访问策略列表页面。
各组件的策略列表中,系统默认生成的条目会自动继承至安全区内,用于保证集群内的部分系统默认用户或用户组的权限。
- 单击“Add New Policy”,根据业务场景规划配置相关用户或者用户组的资源访问策略。
例如在本章节样例中,在安全区内配置一条允许“test”用户访问“/testzone/test”目录的策略:
其他不同组件的完整访问策略配置样例参考:
- 添加HDFS的Ranger访问权限策略
- 添加HBase的Ranger访问权限策略
- 添加Hive的Ranger访问权限策略
- 添加Yarn的Ranger访问权限策略
- 添加Spark2x的Ranger访问权限策略
- 添加Kafka的Ranger访问权限策略
- 添加Storm的Ranger访问权限策略
策略添加后,需等待30秒左右,待系统生效。
- 安全区中定义的策略仅适用于区域中的资源,服务的资源被划分到安全区后,非安全区针对该资源的访问权限策略将不再生效。
- 如需配置针对当前安全区之外其他资源的访问策略,需在Ranger首页右上角的“Security Zone”选项中退出当前安全区后进行配置。