0015-如何使用Sentry管理Hive外部表許可權

阿新 • • 發佈：2018-11-19

溫馨提示：要看高清無碼套圖，請使用手機開啟並單擊圖片放大檢視。

1.文件編寫目的

本文件主要講述如何使用Sentry對Hive外部表許可權管理，並基於以下假設：

1.作業系統版本：RedHat6.5

2.CM版本：CM 5.11.1

3.叢集已啟用Kerberos和Sentry

4.採用具有sudo許可權的ec2-user使用者進行操作

2.前置準備

2.1建立外部表資料父目錄

1.使用hive使用者登入Kerberos

[[email protected] 1874-hive-HIVESERVER2]# kinit -kt hive.keytab hive/ 
[email protected]
[[email protected] 1874-hive-HIVESERVER2]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: hive/[email protected]

Valid starting     Expires            Service principal
09/01/17 11:10:54  09/02/17 11:10:54  krbtgt/[email protected]
        renew until 09/06/17 11:10:54
[[email protected] 
 1874-hive-HIVESERVER2]#

0015-如何使用Sentry管理Hive外部表許可權

2.建立HDFS目錄

使用如下命令在HDFS的根目錄下建立Hive外部表的資料目錄/extwarehouse

[[email protected] ec2-user]# hadoop fs -mkdir /extwarehouse
[[email protected] ec2-user]# hadoop fs -ls /
drwxr-xr-x   - hive   supergroup          0 2017-09-01 11:27 /extwarehouse
drwxrwxrwx   - user_r supergroup          0 2017-08-23 03:23 /fayson
drwx------   - hbase  hbase               0 2017-09-01 02:59 /hbase
drwxrwxrwt   - hdfs   supergroup          0 2017-08-31 06:18 /tmp
drwxrwxrwx   - hdfs   supergroup          0 2017-08-30 03:48 /user
[ 
[email protected] ec2-user]# hadoop fs -chown hive:hive /extwarehouse
[[email protected] ec2-user]# hadoop fs -chmod 771 /extwarehouse
[[email protected] ec2-user]# hadoop fs -ls /
drwxrwx--x   - hive   hive                0 2017-09-01 11:27 /extwarehouse
drwxrwxrwx   - user_r supergroup          0 2017-08-23 03:23 /fayson
drwx------   - hbase  hbase               0 2017-09-01 02:59 /hbase
drwxrwxrwt   - hdfs   supergroup          0 2017-08-31 06:18 /tmp
drwxrwxrwx   - hdfs   supergroup          0 2017-08-30 03:48 /user
[[email protected] ec2-user]#

0015-如何使用Sentry管理Hive外部表許可權

2.2配置外部表資料父目錄的ACL同步

1.確保HDFS已開啟sentry並啟用ACL同步

0015-如何使用Sentry管理Hive外部表許可權

2.配置sentry同步路徑（2.1建立的Hive外部表資料目錄）

0015-如何使用Sentry管理Hive外部表許可權

3.配置完成，重啟服務。

3.建立Hive外部表

1.使用beeline命令列連線hive，建立Hive外部表

建表語句：

create external table if not exists student(
        name string,
        age int,
        addr string
)
ROW FORMAT DELIMITED FIELDS TERMINATED BY ','
LOCATION '/extwarehouse/student';

終端操作：

[[email protected] 1874-hive-HIVESERVER2]# beeline 
Beeline version 1.1.0-cdh5.11.1 by Apache Hive
beeline> !connect jdbc:hive2://localhost:10000/;principal=hive/[email protected]
...
0: jdbc:hive2://localhost:10000/> create external table if not exists student(
. . . . . . . . . . . . . . . . >         name string,
. . . . . . . . . . . . . . . . >         age int,
. . . . . . . . . . . . . . . . >         addr string
. . . . . . . . . . . . . . . . > )
. . . . . . . . . . . . . . . . > ROW FORMAT DELIMITED FIELDS TERMINATED BY ','
. . . . . . . . . . . . . . . . > LOCATION '/extwarehouse/student';
...
INFO  : OK
No rows affected (0.236 seconds)
0: jdbc:hive2://localhost:10000/>

0015-如何使用Sentry管理Hive外部表許可權

2.向student表中load資料

準備測試資料

[[email protected] student]# pwd
/home/ec2-user/student
[[email protected] student]# ll
total 4
-rw-r--r-- 1 root root 39 Sep  1 11:37 student.txt
[[email protected] student]# cat student.txt 
zhangsan,18,guangzhou
lisi,20,shenzhen
[[email protected] student]#

0015-如何使用Sentry管理Hive外部表許可權

將student.txt檔案put到hdfs的/tmp/student目錄

[[email protected] student]# hadoop fs -mkdir /tmp/student
[[email protected] student]# ll
total 4
-rw-r--r-- 1 hive hive 39 Sep  1 11:37 student.txt
[[email protected] student]# hadoop fs -put student.txt /tmp/student
[[email protected] student]# hadoop fs -ls /tmp/student
Found 1 items
-rw-r--r--   3 hive supergroup         39 2017-09-01 11:57 /tmp/stu
dent/student.txt
[[email protected] student]#

0015-如何使用Sentry管理Hive外部表許可權

在beeline命令列下，將資料load到student表

0: jdbc:hive2://localhost:10000/> load data inpath '/tmp/student' into table student;
...
INFO  : Table default.student stats: [numFiles=1, totalSize=39]
INFO  : Completed executing command(queryId=hive_20170901115858_5a76aa76-1b24-40ce-8254-42991856c05b); Time taken: 0.263 seconds
INFO  : OK
No rows affected (0.41 seconds)
0: jdbc:hive2://localhost:10000/>

0015-如何使用Sentry管理Hive外部表許可權

執行完load命令後，查看錶資料

0: jdbc:hive2://localhost:10000/> select * from student;
...
INFO  : OK
+---------------+--------------+---------------+--+
| student.name  | student.age  | student.addr  |
+---------------+--------------+---------------+--+
| zhangsan      | 18           | guangzhou     |
| lisi          | 20           | shenzhen      |
+---------------+--------------+---------------+--+
2 rows selected (0.288 seconds)
0: jdbc:hive2://localhost:10000/>

0015-如何使用Sentry管理Hive外部表許可權

4.使用fayson使用者在beeline和impala-shell檢視

使用fayson使用者的principal初始化Kerberors的票據

[[email protected] cdh-shell-master]$ kinit fayson
Password for [email protected]: 
[[email protected] cdh-shell-master]$ klist
Ticket cache: FILE:/tmp/krb5cc_500
Default principal: [email protected]

Valid starting     Expires            Service principal
09/01/17 12:27:39  09/02/17 12:27:39  krbtgt/[email protected]
        renew until 09/08/17 12:27:39
[[email protected] cdh-shell-master]$

0015-如何使用Sentry管理Hive外部表許可權

4.1訪問hdfs目錄

[[email protected] ~]$ hadoop fs -ls /extwarehouse/student
ls: Permission denied: user=fayson, access=READ_EXECUTE, inode="/extwarehouse/student":hive:hive:drwxrwx--x
[[email protected] ~]$

0015-如何使用Sentry管理Hive外部表許可權

4.2beeline命令列檢視

[[email protected] ~]$ beeline 
Beeline version 1.1.0-cdh5.11.1 by Apache Hive
beeline> !connect jdbc:hive2://localhost:10000/;principal=hive/[email protected]
...
INFO  : OK
+-----------+--+
| tab_name  |
+-----------+--+
+-----------+--+
No rows selected (0.295 seconds)
0: jdbc:hive2://localhost:10000/> select * from student;
Error: Error while compiling statement: FAILED: SemanticException No valid privileges
 User fayson does not have privileges for QUERY
 The required privileges: Server=server1->Db=default->Table=student->Column=addr->action=select; (state=42000,code=40000)
0: jdbc:hive2://localhost:10000/>

0015-如何使用Sentry管理Hive外部表許可權

4.3impala-shell命令列檢視

[[email protected] cdh-shell-master]$ impala-shell 
...
[Not connected] > connect ip-172-31-10-156.ap-southeast-1.compute.internal:21000;
Connected to ip-172-31-10-156.ap-southeast-1.compute.internal:21000
Server version: impalad version 2.8.0-cdh5.11.1 RELEASE (build 3382c1c488dff12d5ca8d049d2b59babee605b4e)
[ip-172-31-10-156.ap-southeast-1.compute.internal:21000] > show tables;
Query: show tables
ERROR: AuthorizationException: User '[email protected]' does not have privileges to access: default.*

[ip-172-31-10-156.ap-southeast-1.compute.internal:21000] > select * from student;
Query: select * from student
Query submitted at: 2017-09-01 12:33:06 (Coordinator: http://ip-172-31-10-156.ap-southeast-1.compute.internal:25000)
ERROR: AuthorizationException: User '[email protected]' does not have privileges to execute 'SELECT' on: default.student

[ip-172-31-10-156.ap-southeast-1.compute.internal:21000] >

0015-如何使用Sentry管理Hive外部表許可權

4.4測試總結

通過hive使用者建立的外部表，未給fayson使用者賦予student表讀許可權情況下，無許可權訪問hdfs的(/extwarehouse/student)資料目錄，在beeline和impala-shell命令列下，fayson使用者均無許可權查詢student表資料。

5.為fayson使用者賦予student表讀許可權

注：以下操作均在hive管理員使用者下操作

1.建立student_read角色

0: jdbc:hive2://localhost:10000/> create role student_read;
...
INFO  : Executing command(queryId=hive_20170901124848_927878ba-0217-4a32-a508-bf29fed67be8): create role student_read
...
INFO  : OK
No rows affected (0.104 seconds)
0: jdbc:hive2://localhost:10000/>

0015-如何使用Sentry管理Hive外部表許可權

2.將student表的查詢許可權授權給student_read角色

0: jdbc:hive2://localhost:10000/> grant select on table student to role student_read;
...
INFO  : Executing command(queryId=hive_20170901125252_8702d99d-d8eb-424e-929d-5df352828e2c): grant select on table student to role student_read
...
INFO  : OK
No rows affected (0.111 seconds)
0: jdbc:hive2://localhost:10000/>

0015-如何使用Sentry管理Hive外部表許可權

3.將student_read角色授權給fayson使用者組

0: jdbc:hive2://localhost:10000/> grant role student_read to group fayson;
...
INFO  : Executing command(queryId=hive_20170901125454_5f27a87e-2f63-46d9-9cce-6f346a0c415c): grant role student_read to group fayson
...
INFO  : OK
No rows affected (0.122 seconds)
0: jdbc:hive2://localhost:10000/>

0015-如何使用Sentry管理Hive外部表許可權

6.再次測試

使用fayson使用者登入Kerberos

6.1訪問HDFS目錄

訪問student資料所在hdfs目錄/extwarehouse/student

[[email protected] ~]$ hadoop fs -ls /extwarehouse/student
Found 1 items
-rwxrwx--x+  3 hive hive         39 2017-09-01 14:42 /extwarehouse/student/student.txt
[[email protected] ~]$

0015-如何使用Sentry管理Hive外部表許可權

6.2beeline查詢student表

[[email protected] ~]$ klist
Ticket cache: FILE:/tmp/krb5cc_500
Default principal: [email protected]

Valid starting     Expires            Service principal
09/01/17 12:58:59  09/02/17 12:58:59  krbtgt/[email protected]
        renew until 09/08/17 12:58:59
[[email protected] ~]$ 
[[email protected] ~]$ beeline 
Beeline version 1.1.0-cdh5.11.1 by Apache Hive
beeline> !connect jdbc:hive2://localhost:10000/;principal=hive/[email protected]
...
INFO  : OK
+-----------+--+
| tab_name  |
+-----------+--+
| student   |
+-----------+--+
1 row selected (0.294 seconds)
0: jdbc:hive2://localhost:10000/> select * from student;
...
INFO  : OK
+---------------+--------------+---------------+--+
| student.name  | student.age  | student.addr  |
+---------------+--------------+---------------+--+
| zhangsan      | 18           | guangzhou     |
| lisi          | 20           | shenzhen      |
+---------------+--------------+---------------+--+
2 rows selected (0.241 seconds)
0: jdbc:hive2://localhost:10000/>

0015-如何使用Sentry管理Hive外部表許可權

6.3impala-shell查詢student表

[[email protected] cdh-shell-master]$ klist
Ticket cache: FILE:/tmp/krb5cc_500
Default principal: [email protected]

Valid starting     Expires            Service principal
09/01/17 12:58:59  09/02/17 12:58:59  krbtgt/[email protected]
        renew until 09/08/17 12:58:59
[[email protected] cdh-shell-master]$ impala-shell 
...
[Not connected] > connect ip-172-31-10-156.ap-southeast-1.compute.internal:21000;
Connected to ip-172-31-10-156.ap-southeast-1.compute.internal:21000
Server version: impalad version 2.8.0-cdh5.11.1 RELEASE (build 3382c1c488dff12d5ca8d049d2b59babee605b4e)
[ip-172-31-10-156.ap-southeast-1.compute.internal:21000] > show tables;
Query: show tables
+---------+
| name    |
+---------+
| student |
+---------+
Fetched 1 row(s) in 0.02s
[ip-172-31-10-156.ap-southeast-1.compute.internal:21000] > select * from student;
...
+----------+-----+-----------+
| name     | age | addr      |
+----------+-----+-----------+
| zhangsan | 18  | guangzhou |
| lisi     | 20  | shenzhen  |
+----------+-----+-----------+
Fetched 2 row(s) in 0.13s
[ip-172-31-10-156.ap-southeast-1.compute.internal:21000] >

0015-如何使用Sentry管理Hive外部表許可權

6.4測試總結

通過hive使用者建立的外部表，給fayson使用者賦予student表讀許可權後，可正常訪問hdfs的(/extwarehouse/student)資料目錄，在beeline和impala-shell命令列下，fayson使用者均可查詢student表資料。

7.Sentry管理Hive外部表許可權總結

開啟外部表的資料父目錄ACL同步後，不需要單獨的維護外部表資料目錄許可權。

參考文件：

https://www.cloudera.com/documentation/enterprise/latest/topics/sg\_hdfs\_sentry\_sync.html

醉酒鞭名馬，少年多浮誇！嶺南浣溪沙，嘔吐酒肆下！摯友不肯放，資料玩的花！
溫馨提示：要看高清無碼套圖，請使用手機開啟並單擊圖片放大檢視。

0015-如何使用Sentry管理Hive外部表許可權

溫馨提示：要看高清無碼套圖，請使用手機開啟並單擊圖片放大檢視。 1.文件編寫目的本文件主要講述如何使用Sentry對Hive外部表許可權管理，並基於以下假設： 1.作業系統版本：RedHat6.5 2.CM版本：CM 5.11.1 3.叢集已啟用Kerberos和Sentry 4.採用

0035-如何使用Sentry管理Hive外部表（補充）

article external ted 文件內容 select 數據庫 war ras value 溫馨提示：要看高清無碼套圖，請使用手機打開並單擊圖片放大查看。 1.文檔編寫目的本文文檔主要講述如何使用Sentry管理Hive/Impala外部表權限。內容概述

hive 外部表，內部表

create table test(id int,name string) row format delimited fields terminated by ',' ; 載入資料 load data local inpath '/home/test/test.txt' into table t

hive外部表建立分割槽,並根據分割槽進行查詢

1. hive建立外部表建立外部表的好處: hive建立外部表時,僅記錄資料所在的路徑,不對資料的位置做任何改變. 刪除表的時候,外部表只刪除元資料,不刪除資料所以總結起來就是 : 外部表相對安全

hive 外部表建立示例

hdfs dfs -mkdir -p /external/sr/sr_createdhdfs dfs -mkdir -p /external/sr/sr_assignhdfs dfs -mkdir -p /external/sr/sr_cancelledhdfs df

Hive之管理表外部表分割槽表

一Hive 建立表的三種方式 1.1普通建立 1.2查詢語句建立 CREATETABLE IF NOT EXISTS ext_1 AS SELECT deptno,dname,loc FROMdep

hive中管理表（內部表）和外部表的區別是什麼，及分割槽表使用場景

⑴區別： ①Hive建立內部表時（預設建立內部表），會將資料移動到資料倉庫指向的路徑；建立外部表（需要加關鍵字external），僅記錄資料所在的路徑，不對資料的位置做任何改變； ⑵Hive刪除表時，內部表的元資料和資料會被一起刪除，而外部表只刪除元資料，不刪除資料；

hive：普通表外部表分割槽表

1. 普通表普通表的建立，如上所說，不講了。其中，一個表，就對應一個表名對應的檔案。 2. 外部表 EXTERNAL 關鍵字可以讓使用者建立一個外部表，在建表的同時指定一個指向實際資料的路徑（L

Hive內部表、外部表、分割槽表以及外部分割槽表建立以及匯入資料例項講解

源資料格式： [[email protected]144113 zhang_dd_edw]$ more data.txt 25502#hdfs://ns1/user/dd_edw/adm.db/adm_dealer_order_list_di_big/dt=2015-07-

HIVE刪除外部表

測試使用truncate命令刪除外部表: truncate table mytable; #FAILED: SemanticException [Error 10146]: Cannot truncate non-managed table mytable. (state=,c

Hive 內部表與外部表

Hive中的表又分為內部表和外部表 ,Hive 中的每張表對應於HDFS上的一個資料夾，HDFS目錄為：/user/hadoop/hive/warehouse/[databasename.db]/table 內部表建立語句這裡我們採用從之前表中複製表結構和資料 creat

Hive概述、內部表、外部表、分割槽表的操作

Hive概述、內部表、外部表、分割槽表的操作一、Hive概述　　Hive是基於Hadoop的一個數據倉庫工具。可以將結構化的資料檔案對映為一張資料庫表，並提供完整的sql查詢功能，可以將sql語句轉換為MapReduce任務進行執行。　　Hive是建立在 Hadoop 上的資料倉庫

hive的內部表跟外部表

先建立一個內部表：建表語句-進入hive命令列輸入： create table t1( id int ,name string ,hobby array<string> ,add map<String,string

hive的三板斧：內部表和外部表、分割槽和分桶以及序列化/反序列化(SerDe)

hive的三板斧：內部表和外部表、分割槽和分桶以及序列化/反序列化(SerDe) Hive是Hadoop生態圈中實現資料倉庫的一項技術。雖然Hadoop和HDFS的設計侷限了Hive所能勝任的工作，但是Hive仍然是目前網際網路中最適合資料倉庫的應用技術。不論從“品相還是舉止

Hive面試題：Hive 內部表和外部表的區別

建立外部表多了external關鍵字說明以及location path. Hive中表與外部表的區別： 1、在匯入資料到外部表，資料並沒有移動到自己的資料倉庫目錄下，也就是說外部表中的資料並不是由它自己來管理的！而表則不一樣； 2、在刪除表的時候，Hive將會把屬於表的元資料和資料全

Hive建立外部表以及分割槽

建立帶分割槽的外部表建立外部表的優點是資料能夠隨時從hdfs中掛載進表中使用分割槽的優點是能夠縮短查詢範圍以下的樣例展示了怎樣建立外部表 CREATE EXTERNAL TABLE my_daily_report( last_update stri

hive使用者許可權以及表許可權實現思路

hive許可權系統 hive本身提供的許可權的系統是基於linux使用者構建的，帶來的問題就是，使用者可以偽造賬號訪問資料，這樣的話許可權系統形同虛設；所以通常情況下，公司一般都會使用kerberos+sentry這種架構構建資料倉庫；這就需要資料團隊有比較強的

一起學Hive——建立內部表、外部表、分割槽表和分桶表及匯入資料

Hive本身並不儲存資料，而是將資料儲存在Hadoop的HDFS中，表名對應HDFS中的目錄/檔案。根據資料的不同儲存方式，將Hive表分為外部表、內部表、分割槽表和分桶表四種資料模型。每種資料模型各有優缺點。通過create user命令建立user表時，會在HDFS中生成一個user目錄/檔案。外部表

Hive內部表和外部表

官網解釋： Managed and External Tables By default Hive creates managed tables, where files, metadata and statistics are managed by internal Hive process

hive建立hbase內部表，外部表

操作hbase，hive建連線，impala操作hbase查詢 1.進入hbase命令：hbase shell 2.建表 create ‘test’，‘c f’：建表時必須指定表名和列族名 list ：列舉表資訊，（

0015-如何使用Sentry管理Hive外部表許可權

相關推薦