Sentry 許可權模型之授權策略SQL

阿新 • • 發佈：2018-11-12

接上一篇hive 整合sentry繼續來看下sentry的授權體系

使用hive使用者登陸,在這個hive使用者是在$HIVE_HOME/conf/sentry-site.xml中配置，

  <property>
    <name>sentry.metastore.service.users</name>
    <value>hive</value>
  </property>

，hive是用於授權的賬號，可以理解為超級使用者

beeline -u 'jdbc:hive2://localhost:10000' -n hive

檢視所有roles，當前沒有任何role

0: jdbc:hive2://localhost:10000> show roles;
+-------+
| role  |
+-------+
+-------+

建立admin role:admin_role,

create role admin_role;
GRANT ALL ON SERVER server1 TO ROLE admin_role;

admin_role擁有server1上的所有許可權，server1是再sentry-site.xml中配置

<property>
    <name>sentry.hive.server</name>
    <value>server1</value>
  </property>

簡單理解擁有admin_role的使用者組，擁有所有許可權
將hive使用者組設定為管理員使用者,並使用hive使用者建立資料庫test

GRANT ROLE admin_role TO GROUP hive;
create database test;


0: jdbc:hive2://localhost:10000> create database test;
No rows affected (0.172 seconds)
0: jdbc:hive2://localhost:10000> show databases;
+----------------+
| database_name  |
+----------------+
| default        |
| filtered       |
| sensitive      |
| test           |
| test1          |
+----------------+
5 rows selected (0.334 seconds)

建立測試role,並將xn_role分配給xn使用者組

0: jdbc:hive2://localhost:10000> create role xn_role;
No rows affected (0.095 seconds)
0: jdbc:hive2://localhost:10000> GRANT ROLE xn_role TO GROUP xn;
No rows affected (0.118 seconds)

xn這個擁有xn_role,但是xn_role沒有任何許可權

使用xn使用者登陸
beeline -u 'jdbc:hive2://localhost:10000' -n xn

show databases沒有任何庫列表輸出
0: jdbc:hive2://localhost:10000> show databases;
+----------------+
| database_name  |
+----------------+
| default        |
+----------------+
1 row selected (0.71 seconds)

並且也沒有建庫許可權

0: jdbc:hive2://localhost:10000> create database xn;
Error: Error while compiling statement: FAILED: SemanticException No valid privileges
 User xn does not have privileges for CREATEDATABASE
 The required privileges: Server=server1->action=create->grantOption=false; (state=42000,code=40000)

現在用hive使用者賬戶建立資料庫xn,並將xn_role的許可權附給xn;

0: jdbc:hive2://localhost:10000> create database xn
. . . . . . . . . . . . . . . .> ;
No rows affected (0.196 seconds)
0: jdbc:hive2://localhost:10000> GRANT ALL ON DATABASE xn TO ROLE xn_role;
No rows affected (0.1 seconds)
0: jdbc:hive2://localhost:10000> GRANT ROLE xn_role TO GROUP xn;
No rows affected (0.135 seconds)

使用xn使用者登陸

beeline -u 'jdbc:hive2://localhost:10000' -n xn
0: jdbc:hive2://localhost:10000> show databases;
+----------------+
| database_name  |
+----------------+
| default        |
| xn             |
+----------------+
2 rows selected (0.651 seconds)
0: jdbc:hive2://localhost:10000>

檢視當前使用者roles

0: jdbc:hive2://localhost:10000> SHOW CURRENT ROLES;
+----------+
|   role   |
+----------+
| xn_role  |
+----------+
1 row selected (0.119 seconds)

檢視xn_role擁有的許可權

0: jdbc:hive2://localhost:10000> SHOW GRANT ROLE xn_role;
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+----------------+----------+
| database  | table  | partition  | column  | principal_name  | principal_type  | privilege  | grant_option  |   grant_time   | grantor  |
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+----------------+----------+
| xn        |        |            |         | xn_role         | ROLE            | *          | false         | 1540965346000  | --       |
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+----------------+----------+
1 row selected (0.112 seconds)

給xn_role新增表sensitive.events查詢許可權

GRANT SELECT ON table sensitive.events TO ROLE xn_role;

0: jdbc:hive2://localhost:10000>  SHOW GRANT ROLE xn_role;
+------------+---------+------------+---------+-----------------+-----------------+------------+---------------+----------------+----------+
|  database  |  table  | partition  | column  | principal_name  | principal_type  | privilege  | grant_option  |   grant_time   | grantor  |
+------------+---------+------------+---------+-----------------+-----------------+------------+---------------+----------------+----------+
| xn         |         |            |         | xn_role         | ROLE            | *          | false         | 1540965346000  | --       |
| sensitive  | events  |            |         | xn_role         | ROLE            | SELECT     | false         | 1540971733000  | --       |
+------------+---------+------------+---------+-----------------+-----------------+------------+---------------+----------------+----------+
0: jdbc:hive2://localhost:10000> select * from sensitive.events;
+---------------+-----------------+----------------+----------------+
|   events.ip   | events.country  | events.client  | events.action  |
+---------------+-----------------+----------------+----------------+
| 10.1.2.3      | US              | android        | createNote     |
| 10.200.88.99  | FR              | windows        | updateNote     |
| 10.1.2.3      | US              | android        | updateNote     |
| 10.200.88.77  | FR              | ios            | createNote     |
| 10.1.4.5      | US              | windows        | updateTag      |
+---------------+-----------------+----------------+----------------+

可以看到xn這個使用者已經可以查詢表sensitive.events，之前授權的時候只給了select許可權，現在來嘗試插入一些資料，首先先建立一個表xn.events

0: jdbc:hive2://localhost:10000> create table xn.events as select * from sensitive.events;
WARNING: Hive-on-MR is deprecated in Hive 2 and may not be available in the future versions. Consider using a different execution engine (i.e. spark, tez) or using Hive 1.X releases.
No rows affected (18.355 seconds)
0: jdbc:hive2://localhost:10000>

嘗試插入資料

0: jdbc:hive2://localhost:10000> insert into sensitive.events select * from xn.events;
Error: Error while compiling statement: FAILED: SemanticException No valid privileges
 User xn does not have privileges for QUERY
 The required privileges: Server=server1->Db=sensitive->Table=events->action=insert->grantOption=false; (state=42000,code=40000)

現在用hive賬號給xn_role新增對錶sensitive.events的所有許可權

0: jdbc:hive2://localhost:10000>  GRANT ALL ON table sensitive.events TO ROLE xn_role;
No rows affected (0.083 seconds)

檢視xn使用者許可權

0: jdbc:hive2://localhost:10000>  SHOW GRANT ROLE xn_role;
+------------+---------+------------+---------+-----------------+-----------------+------------+---------------+----------------+----------+
|  database  |  table  | partition  | column  | principal_name  | principal_type  | privilege  | grant_option  |   grant_time   | grantor  |
+------------+---------+------------+---------+-----------------+-----------------+------------+---------------+----------------+----------+
| xn         |         |            |         | xn_role         | ROLE            | *          | false         | 1540965346000  | --       |
| sensitive  | events  |            |         | xn_role         | ROLE            | *          | false         | 1540972283000  | --       |
+------------+---------+------------+---------+-----------------+-----------------+------------+---------------+----------------+----------+

可以看到xn已經又有了對錶sensitive.events的所有許可權

0: jdbc:hive2://localhost:10000> insert into sensitive.events select * from xn.events;
WARNING: Hive-on-MR is deprecated in Hive 2 and may not be available in the future versions. Consider using a different execution engine (i.e. spark, tez) or using Hive 1.X releases.
No rows affected (17.397 seconds)
0: jdbc:hive2://localhost:10000> select * from sensitive.events;
+---------------+-----------------+----------------+----------------+
|   events.ip   | events.country  | events.client  | events.action  |
+---------------+-----------------+----------------+----------------+
| 10.1.2.3      | US              | android        | createNote     |
| 10.200.88.99  | FR              | windows        | updateNote     |
| 10.1.2.3      | US              | android        | updateNote     |
| 10.200.88.77  | FR              | ios            | createNote     |
| 10.1.4.5      | US              | windows        | updateTag      |
| 10.1.2.3      | US              | android        | createNote     |
| 10.200.88.99  | FR              | windows        | updateNote     |
| 10.1.2.3      | US              | android        | updateNote     |
| 10.200.88.77  | FR              | ios            | createNote     |
| 10.1.4.5      | US              | windows        | updateTag      |
| 10.1.2.3      | US              | android        | createNote     |
| 10.200.88.99  | FR              | windows        | updateNote     |
| 10.1.2.3      | US              | android        | updateNote     |
| 10.200.88.77  | FR              | ios            | createNote     |
| 10.1.4.5      | US              | windows        | updateTag      |
+---------------+-----------------+----------------+----------------+
15 rows selected (0.412 seconds)
0: jdbc:hive2://localhost:10000>

資料已經插入到表sensitive.events

現在來看下怎樣收回許可權，首先來收回xn_role對錶的所有許可權

0: jdbc:hive2://localhost:10000> REVOKE ALL ON Table sensitive.events from role xn_role;
No rows affected (0.125 seconds)

檢視xn_role的許可權

0: jdbc:hive2://localhost:10000>  SHOW GRANT ROLE xn_role;
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+----------------+----------+
| database  | table  | partition  | column  | principal_name  | principal_type  | privilege  | grant_option  |   grant_time   | grantor  |
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+----------------+----------+
| xn        |        |            |         | xn_role         | ROLE            | *          | false         | 1540965346000  | --       |
+-----------+--------+------------+---------+-----------------+-----------------+------------+---------------+----------------+----------+
0: jdbc:hive2://localhost:10000> select * from sensitive.events;
Error: Error while compiling statement: FAILED: SemanticException No valid privileges
 User xn does not have privileges for QUERY
 The required privileges: Server=server1->Db=sensitive->Table=events->action=select->grantOption=false; (state=42000,code=40000)

注意

這裡賬號xn，test，hive均為linux使用者，在指定user使用beeline時，linux系統必須要有對應的使用者組，否則會報group not exists的錯誤，或者授權已經成功，但是許可權不生效

Sentry 許可權模型之授權策略SQL

接上一篇hive 整合sentry繼續來看下sentry的授權體系使用hive使用者登陸,在這個hive使用者是在$HIVE_HOME/conf/sentry-site.xml中配置， <property> <name>sentry.meta

4.Oracle之DCL的SQL語句之使用者許可權以及三大正規化

DCL （Data Control Language，資料庫控制語言）用於定義資料庫許可權一、使用者許可權 1.1 建立使用者以及授權：　　　　Eg ：CREATE USER 使用者名稱 IDENTIFIED BY 密碼 ; 1.2 GRANT 許可權 TO 使用者名稱 ; 　　Eg：G

web安全之同源策略

rip 瀏覽器中屬性。名單 java get message 否則 cookie 為什麽使用同源策略？一個重要原因就是對cookie的保護，cookie 中存著sessionID 。如果已經登錄網站，同時又去了任意其他網站，該網站有惡意JS代碼。如果沒有同源策略，那麽這

linux設備驅動模型之平臺總線實踐環節（一）

linux設備驅動模型1、首先回顧下之前寫的驅動和數據在一起的led驅動代碼，代碼如下：#include <linux/module.h> #include <linux/init.h> #include <linux/leds.h> #include <asm/io

自學sql之路，SQL 是用於訪問和處理數據庫的標準的計算機語言！

oracle 計算機語言數據庫連接 sql語言 probable http://www.w3school.com.cn/sql/index.asp 自學是sql一個坎坷，並且需要堅持的。遇到問題不知道如何下手！報錯了不知道怎麽找到錯誤。以下是我跟著w3cschool學習sql語言的過

盒子模型之margin相關技巧！

images 水平居中 color 邊框 pan 一個 ron ble 居中廢話不多說，直接進入主題，margin相關技巧。 1、設置元素水平居中：margin:x auto; 2、margin負值讓元素位移及邊框合並。外邊距合並　　指當兩個垂直外邊距相遇時，它們將形

CSS布局模型之浮動模型（浮動的工作原理和清除浮動技巧？）

浮動浮動模型工作原理浮動的工作原理浮動是讓某元素脫離文檔流，在浮動框之前和之後的非定位元素會當它不存在一樣，可能沿著它的另一側垂直流動，但都為其騰出空間，塊級元素也不例外（被浮動元素占據了部分行空間的塊級元素，仍然被看作是占據了一整行，只不過是被浮動元素占據的那部分空間無法利用罷了）。浮動的

布局模型之層模型（position的relative、absolute與fixed區別？）

absolute fixed relative css的布局模型分為流動模型（Flow）、浮動模型（Float）、層模型（Layer）。浮動模型（Float）和層模型（Layer）有什麽顯著區別？浮動模型（Float）：浮動是讓某元素脫離文檔流的限制，在浮動框之前和之後的非定位元素

【第三篇】ASP.NET MVC快速入門之安全策略（MVC5+EF6）

對象 code word 單身 script ticket bsp 金額 class 【第一篇】ASP.NET MVC快速入門之數據庫操作（MVC5+EF6）【第二篇】ASP.NET MVC快速入門之數據註解（MVC5+EF6）【第三篇】ASP.NET MVC快速入門之

Django 08. django框架模型之增刪改查進階

C/S模型之TCP群聊

cpp etl word client inet_addr accep 應用程序 with value 說明：利用TCP協議和多線程實現群聊功能。一個服務器，多個客戶端（同一個程序多次啟動）。客戶端向服務端發送數據，由服務端進行轉發到其他客戶端。 /服務端 // WSAS

C/S模型之UDP協議

lob socket 端口號 add 想要 span ipp 技術分享 get 說明：利用UDP協議，創建一個服務器和一個客戶端。兩者間進行通信。由客戶端進行輸入內容，而服務器將接受的內容進行再一次返回，並顯示在服務端。 // UDP_Seversock.cpp :

C/S模型之命名管道

實例命名效果 bre turn tchar efault 介紹容量說明：利用管道實現服務端與客戶端之間的交互。效果等同於利用socket。命名管道(NamedPipe)是一種簡單的進程間通信（IPC）機制,是服務器進程和一個或多個客戶進程之間通信的單向或雙向管道。

一.Windows I/O模型之選擇(select)模型

寫入 lap 調用 pla lose 結構 fd_set 關閉監視 1.選擇(select)模型:選擇模型：通過一個fd_set集合管理套接字，在滿足套接字需求後，通知套接字。讓套接字進行工作。避免套接字進入阻塞模式，進行無謂的等待。選擇模型的核心的FD_SET集合和se

電商網站商品模型之商品詳情頁設計方案

查詢 amp 多對一關系 int cor http 添加 com 托盤如下設計方案參考淘寶和華為商城 SKU SPU的關系 SPU = Standard Product Unit （標準產品單位） SPU是商品信息聚合的最小單位，是一組可復用、易檢索的標準化信息的集合，該

前後分離模型之封裝 Api 調用

password 環境 word 簡單的 login 進行 func 一點項目 Ajax 和異步處理調用 API 訪問數據采用的 Ajax 方式，這是一個異步過程，異步過程最基本的處理方式是事件或回調，其實這兩種處理方式實現原理差不多，都需要在調用異步過程的時候傳入一個

redis筆記-數據庫之持久化策略

拒絕 ... last proc 分享圖片才會 rewrite 文本格式足夠 2018-1-17 by Atlas redis持久化將redis在內存中的數據庫狀態保持到磁盤裏面，避免數據意外丟失。 RDB持久化既可以手動執行，也可以根據服務器配置

Socket編程模型之完畢port模型

value result received 在那 void 系統性能 dcom 查詢 tails 轉載請註明來源：viewmode=contents">http://blog.csdn.net/caoshiying?vi

dedecms自定義模型之獨立模型在首頁、列表頁、內容調用內容

兩個定義 blog typeid 註意 lists lis curl lds dedecms關於自定義模型（獨立模型）的首頁、列表頁、內容怎麽調用？在後臺自定義模型（獨立模型）的建立及自定義字段的添加比較簡單，需要註意兩點：（1）如果某個字段需要在前臺列表頁顯示，則在前

css模型之層模型

如何兄弟元素生效 -m 方法同時頁面意義 border css層模型說的是position這個屬性，它有四個常用值，分別是static、relative、absolute、fixed。 1.static：這個是元素的默認值，特點是頁面會依照自左向右、自上向下的方向

Sentry 許可權模型之授權策略SQL

注意

相關推薦