(可选)配置DWS和MRS Hive
使用数据库水印前,您先完成如下操作前提:
- 修改DWS集群参数。
为能正常对DWS数据进行敏感数据识别和隐私保护管理,需要提交工单对DWS集群的javaudf_disable_feature参数进行修改,否则将导致操作失败。如果您不涉及DWS数据,则可以不用修改。
- 修改Hive用户权限
为能正常对MRS_Hive数据进行数据水印相关操作,必须通过Ranger管理员为Hive用户进行相关的权限设置。
修改Hive用户权限
- 登录管理控制台。
- 单击左上角的,选择区域或项目。
- 在左侧导航树中,单击,选择“现有集群”界面。 ,进入MapReduce服务
- 在集群列表中单击指定的集群名称,进入集群信息页面。
- 单击“集群管理页面”后的“前往 Manager”,在弹出的窗口中单击“确定”,进入Manager登录页面。
- 输入默认用户名“admin”及创建集群时设置的密码,单击“登录”进入Manager页面。
- 选择 ,进入Ranger服务概览页面。
- 单击“基本信息”区域中的“RangerAdmin”,进入Ranger WebUI界面。由于admin用户在Ranger中的用户类型为“User”,只能查看Access Manager和Security Zone页面。因此您需要切换至rangeradmin用户或者其他具有Ranger管理员权限的用户:
- 在Ranger WebUI界面,单击右上角用户名,选择“Log Out”,退出当前用户。
- 使用rangeradmin用户或者其他具有Ranger管理员权限用户重新登录。
- 在首页中单击“HADOOP SQL”区域的组件插件名称如“Hive”。
- 在“Access”页签单击“Add New Policy”,添加Hive权限控制策略。
- 根据权限要求配置相关参数。关键参数如表1,其他参数无需填写,保持默认即可。
表1 Hive权限参数 参数名称
描述
取值
Policy Name
策略名称,可自定义,不能与本服务内其他策略名称重复。
示例:dataarts_dsc
database
适用该策略的Hive数据库名称。
此处需将参数“database”修改为“global”,取值为“*”,表示此策略全局生效。
global:*
Allow Conditions
策略允许条件,配置本策略内允许的权限及例外。在“Select Role”、“Select Group”、“Select User”列选择已创建好的需要授予权限的Role、用户组或用户,单击“Add Conditions”,添加策略适用的IP地址范围,然后再单击“Add Permissions”,添加对应权限。
此处需配置“Select Group”、“Select User”和“Add Permissions”列。
- Select Group:选择需要对MRS Hive数据进行数据水印相关操作的用户组。
- Select User:选择需要对MRS Hive数据进行数据水印相关操作的用户。如果用户已在选择的用户组中,则无需重复选择。
- Add Permissions:All,选择“Select/Deselect All”全选所有权限。
示例:
- Select Group:dayu_user
- Select User:dgc_test
- Add Permissions:All
- 单击“Add”,在策略列表即可查看策略的基本信息。