同步MRS Hive和Hetu权限
在MRS Hetu对接MRS hive数据源并使用Ranger权限管控的场景下,通过Hetu访问同集群的Hive数据源,会统一使用Hetu端的Ranger权限做鉴权,而不受Hive端的Ranger权限管控。
为了避免该场景下需要在Hetu端重复配置Hive数据源权限的问题,您可以参考本章节内容配置hetu权限同步策略,使Hive权限自动同步至Hetu端,增强权限管理一致性和易用性,无需重复配置。
值得注意的是,hetu权限同步策略为DataArts Studio实例级别配置,各工作空间之间数据互通,全局可见并生效。
前提条件
- MRS Hetu已开启Ranger权限管控,详情请参考HetuEngine权限管理概述。
- 配置hetu权限同步策略前,已在管理中心创建MapReduce服务(MRS Hive)和MapReduce服务(MRS Hetu)类型的数据连接,请参考创建DataArts Studio数据连接。
约束与限制
- 仅DAYU Administrator、Tenant Administrator用户或者数据安全管理员可以创建、修改或删除hetu权限同步策略,其他普通用户无权限操作。
- 当前仅支持Hive权限同步至同一MRS集群的Hetu。
- Hetu权限同步策略需要配置Hive和Hetu catalog的对应关系。对于一个Hive源对接多个Hetu catalog场景,需要配置多个同步策略。
- Hetu权限同步策略创建后,不会自动将已有Hive权限同步至Hetu。仅当Hive权限同步触发后,才会同步权限至Hetu端,另外也会因此导致权限同步所需时间变长。
- 当Hive权限同步触发后,如果同步权限至Hetu端发生失败,Hive权限同步不受影响。
- Hetu权限同步策略删除后,不会回收已同步至Hetu的权限。
- 同步到Hetu端的Ranger的策略命名格式为“catalog名_schema名+表名+列名”。如果Hetu端的Ranger上已有相同资源、名称的策略,则会导致同步权限至Hetu端的失败,此时需要手动清理Hetu端的Ranger上资源、名称冲突的策略。
创建hetu权限同步策略
- 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
- 单击左侧导航树中的
,进入hetu权限同步页面。图1 进入hetu权限同步页面
- 单击“新建”,进入新建hetu权限同步策略页面,参数配置参考表1。
图2 新建hetu权限同步策略参数配置
创建hetu权限同步策略参数配置说明:表1 配置策略参数 参数名
参数说明
*策略名称
hetu权限同步策略的标识,同一个数据表上不能有同名的hetu权限同步策略。
为便于策略管理,建议名称中标明要同步的集群名和Catalog名。
策略描述
为更好地识别hetu权限同步策略,此处加以描述信息,长度不能超过255个字符。
权限源端
*数据源类型
当前仅支持MRS Hive数据源。
*数据连接
从下拉列表中选择数据连接类型中已创建的数据连接,若未创建请参考创建DataArts Studio数据连接新建连接。
集群名称
无需选择,自动匹配数据连接中的数据源集群。
权限目标端
*数据源类型
当前仅支持MRS Hetu数据源。
*数据连接
从下拉列表中选择数据连接类型中已创建的数据连接,若未创建请参考创建DataArts Studio数据连接新建连接。
注意,所选择的Hetu连接所在的集群应与Hive连接所在的集群一致。
集群名称
无需选择,自动匹配数据连接中的数据源集群。
*Catalog
Hetu上的数据源名称,本集群的Hive数据源名称默认为“hive”。由于Hetu支持多个Catalog对接同一个Hive,因此您也可以选择其他本集群的Catalog。
- 单击“提交”,完成hetu权限同步策略创建。
- 当Hive权限同步触发后,会同步权限至Hetu端Ranger,策略命名格式为“catalog名_schema名+表名+列名”。系统定义的Hive与Hetu间的策略映射关系如表2所示。
相关操作
- 编辑策略:在hetu权限同步页面,单击对应任务操作栏中的“编辑”,即可编辑hetu权限同步策略。
- 删除策略:在hetu权限同步页面,单击对应任务操作栏中的“删除”,即可删除策略。当需要批量删除时,可以在勾选策略后,在列表上方单击“删除”。
删除操作无法撤销,请谨慎操作。
- 查看策略详情:在hetu权限同步页面,找到需要查看的策略,单击对应任务操作栏中的“详情”,即可查看策略详情。
图3 查看策略详情