Ranger是云原生多模数据库 Lindorm管理多用户数据访问权限的安全组件。本文主要介绍基于Lindorm Ranger安全组件的功能实践,帮助您轻松地配置不同用户的访问权限,让数据访问更加高效、安全、可控。
前提条件
已开通Lindorm计算引擎。如何开通,请参见开通与变配。
步骤一:开通Ranger
登录Lindorm管理控制台。
在页面左上角,选择实例所属的地域。
在实例列表页,单击目标实例ID或者目标实例所在行操作列的管理。
在左侧导航栏,单击数据库连接。
单击计算引擎页签,然后单击开通Ranger地址。
步骤二:登录Ranger
在计算引擎页签,获取Ranger地址,并单击该地址打开Ranger服务页面。
使用Lindorm宽表引擎账号和密码登录Ranger服务,获取方法请参见用户管理。
步骤三:使用Ranger
Ranger的访问权限策略配置是根据您对资源的访问需求来授予特定权限。用户信息将从宽表引擎中同步,详情请参见用户管理。以下是权限策略模型和权限策略创建方法。
Ranger Policy模型
Ranger Policy模型由两个主要部分构成:
指定Policy适用的资源,例如Hive数据库、表和列。
Policy中特定用户的访问权限。
下图为查询数据时,Policy的检查方法:
创建权限策略
单击主界面的ldps_service,进入权限列表页面。
初始状态下,Ranger存在一些默认的访问权限列表,可以先忽略,单击Add New Policy,进入创建权限页面。
重要初始状态下,存在默认的权限策略列表,定义了部分初始权限,如:用户root可以访问所有表的内容等。您可以选择删除这些默认策略或将其设置为禁用(Disabled)状态,以确保仅让新创建的权限策略生效。
创建权限策略页面共包含三部分内容,分别是权限策略信息、涉及的资源和允许的用户权限。配置详情如下:
权限策略信息(Policy Details):可以添加策略名、标签,和描述等,此外还可以设置策略是否生效,是否覆盖其它权限策略。
涉及的资源(Resources):可以添加需要分配权限的资源,如数据库、表、列等。如果需要添加涉及多个数据库的权限控制策略,可以单击+Add Resource添加更多资源。
允许的用户权限(Allow Conditions):在Select User输入框的用户列表中,选择指定用户,单击Add Permissions选取需要赋予该用户的资源的权限。
重要Ranger的权限策略管理是以资源(数据库、表、列等)为单位的,如果新添加的策略设置的资源和已有策略存在重复,会提示错误。此时,您可以直接编辑导致重复的策略,并在允许的用户权限部分单击
,添加新用户及其权限。单击页面底部的Add,完成新策略的创建。提示保存完成后,新策略就会生效。