配置HDFS开启Ranger权限控制

本文介绍如何集成HDFS到Ranger,以及如何配置权限。

背景信息

Ranger HDFS权限控制与HDFS ACL共同生效,鉴权流程如下图所示。HDFS

前提条件

已创建EMR-5.11.0之前版本、EMR-3.45.0之前版本,且选择了Ranger服务的集群,创建集群详情请参见创建集群

说明

EMR-5.11.0及后续版本、EMR-3.45.0及后续版本,Ranger Usersync会根据集群是否安装OpenLDAP自动对接LDAP,您可以在Ranger服务的配置页签,搜索ranger.usersync.sync.source配置项,查看当前Ranger Usersync的用户来源(unix或ldap)。

操作步骤

  1. 进入集群服务页面。

    1. 登录E-MapReduce控制台

    2. 单击目标集群操作列的集群服务

  2. Ranger启用HDFS。

    1. 集群服务页面,单击Ranger-plugin服务区域的状态

    2. 服务概述区域,打开enableHDFS开关。

    3. 在弹出的对话框中,单击确定

  3. 重启HDFS。

    1. 集群服务页面,选择more > HDFS

    2. 组件列表区域,单击NameNode操作列的重启

    3. 在弹出的对话框中,输入执行原因,单击确定

    4. 确认对话框中,单击确定

  4. 可选:权限配置示例。

    Ranger启用HDFS后,已默认添加好了HDFS Service。

    例如,授予test用户/user/foo路径的Write和Execute权限。

    1. 进入Ranger UI页面,详情请参见访问Ranger UI

    2. 在Ranger UI页面,单击配置好的emr-hdfs

      hdfs-example

    3. 单击右上角的Add New Policy

    4. 根据您的实际需求配置相关参数。

      参数

      描述

      Policy Name

      策略名称,可以自定义。

      Resource Path

      资源路径。例如,/user/foo。

      recursive

      子目录或文件是否集成权限。

      Select Group

      指定添加此策略的用户组。

      Select User

      指定添加此策略的用户。例如,test。

      Permissions

      选择授予的权限。例如,Write和Execute。

    5. 单击Add

      添加Policy后,实现了对test用户的授权。test用户对HDFS路径/user/foo拥有了Write和Execute权限。

      说明

      添加、删除或修改Policy后,需要等待约一分钟至授权生效。