网站首页 > 技术文章 正文
作者:辉少
1.问题描述
Fayson今天在CDH5.16.1 的版本中,使用Hive授权的时候发现两个角色都只有database的create 权限,却能看到各自角色创建的表。如下:
create role createtest1; create role createtest2; grant CREATE on database test to role createtest1; grant CREATE on database test to role createtest2; GRANT ROLE createtest1 TO GROUP createtest1; GRANT ROLE createtest1 TO GROUP createtest2;
执行查看角色权限语句,确认授权无误:
show grant role createtest1; show grant role createtest2;
用户createtest1,创建表test1
use test; show tables; create table test1 (s1 string); show tables;
用户createtest2,创建表test2
use test; show tables; create table test2 (s1 string); show tables;
发现createtest2 可以看到createtest1 所建的表,而createtest1也可以看到createtest2所建的表。
2.问题分析和解决
在上面的描述中我们可以看到在CDH5.16.1中启用Sentry后,Hive 角色权限管理的粒度不够细,没有select 权限却可以看到非自己所创建的表,我们知道在C6中,Sentry是有对权限的更细粒度的管控,于是Fayson便在CDH6.1.0 中验证该问题是否存在。
首先还是一样创建角色授权,步骤跟上述一致,Fayson在这里直接只截取查看角色权限的图
create role createtest1; create role createtest2; grant CREATE on database test to role createtest1; grant CREATE on database test to role createtest2; GRANT ROLE createtest1 TO GROUP createtest1; GRANT ROLE createtest1 TO GROUP createtest2;
然后切换到createtest1用户创建表test1
use test; create table test1 (s1 string); show tables;
这里发现自己创建的表自己也看不到了,这是因为权限粒度的细分。需要切换到hive 用户授予select 权限,授予select 权限后查看:
grant SELECT on database test to role createtest1;
再切换到createtest2用户创建表test2
use test; create table test2 (s1 string); show tables;
发现也是一样的情况,自己创建的表也是看不到。这次为了区分权限,Fayson只将test.test2 表的查看权限赋予createtest2 角色,切换到hive 用户后执行如下命令
grant SELECT on database test.test2 to role createtest2;
再切换回createtest2用户后执行查看:
发现createtest2 用户只能看到授权的test2表,而createtest1 授权的是库级别的select 权限是可以查看到test 库中所有的表的
3.总结
Sentry的细粒度create权限是5.16的新特性,具体参考Fayson之前的文章《0466-CDH5.16.1和CM5.16.1的新功能》,从CDH5.16.1开始,Sentry和Hive引入了细粒度权限,为角色提供对象级权限。细粒度权限添加CREATE权限,允许用户创建数据库和表。以前的Sentry,如果你想要让某个用户能够创建数据库和表即CREATE权限,你必须得给他赋ALL权限,这样其实是不太合理的,比如某个用户你只想让他能够创建表,但是因为有了ALL权限,某个Database下的所有表他都有权限,包括他还能drop掉整个Database或者所有table。
虽然在CDH5.16.1已经添加了Sentry的细粒度create权限,但通过上述的验证发现这个create 权限仍存在问题,通过在CDH 6.1中验证发现已经修复了该问题,目前在CDH 6.1.x 中create权限正常使用。
猜你喜欢
- 2024-10-12 大数据分析工具——hive入门 hive数据分析的一般流程是什么
- 2024-10-12 019Hive基本使用03 019Hive基本使用03 #liaoit
- 2024-10-12 手把手教你搭建Hive环境 搭建hive集群
- 2024-10-12 0474-如何使用SQL Developer访问Hive
- 2024-10-12 大数据之-HIVE入门(十四) php hive大数据处理
- 2024-10-12 Hive 迁移参考方案及测试(下) hive表迁移
- 2024-10-12 0263-Hive2.2.0如何与CDH集群中的Spark1.6集成
- 2024-10-12 如何在HUE上通过oozie调用Hive SQL工作流
- 2024-10-12 百度二面:你做过哪些Hive调优啊? hive调优与参数设置
- 2024-10-12 HiveSQL:如何从给定的日期中减去指定数量的天数?
欢迎 你 发表评论:
- 最近发表
- 标签列表
-
- oraclesql优化 (66)
- 类的加载机制 (75)
- feignclient (62)
- 一致性hash算法 (71)
- dockfile (66)
- 锁机制 (57)
- javaresponse (60)
- 查看hive版本 (59)
- phpworkerman (57)
- spark算子 (58)
- vue双向绑定的原理 (68)
- springbootget请求 (58)
- docker网络三种模式 (67)
- spring控制反转 (71)
- data:image/jpeg (69)
- base64 (69)
- java分页 (64)
- kibanadocker (60)
- qabstracttablemodel (62)
- java生成pdf文件 (69)
- deletelater (62)
- com.aspose.words (58)
- android.mk (62)
- qopengl (73)
- epoch_millis (61)
本文暂时没有评论,来添加一个吧(●'◡'●)