Atlas Ranger授权
如授权模型章节中所描述的,Apache Atlas支持可插拔授权模型。 Apache Ranger提供了一个使用Apache Ranger策略进行授权的授权器实现。此外,Apache Ranger提供的授权程序会到中央审计仓库进行审计(Audit)。
1. 配置
要配置Apache Atlas以使用Apache Ranger授权程序,请按照以下说明操作:
在atlas-application.properties配置文件中包含以下属性:
atlas.authorizer.impl=ranger
如果您使用Apache Ambari部署Apache Atlas和Apache Ranger,请在Apache Ranger的配置页面中启用Atlas插件。
在Apache Atlas的libext目录中包含Apache Ranger插件库
/libext/ranger-atlas-plugin-impl/ /libext/ranger-atlas-plugin-shim- .jar /libext/ranger-plugin-classloader- .jar
在Apache Atlas的配置目录中包含Apache Ranger插件的配置文件 - 通常位于
/etc/atlas/conf目录下。有关配置文件内容的更多详细信息,请参阅Apache Ranger中的相应文档。/ranger-atlas-audit.xml /ranger-atlas-security.xml /ranger-policymgr-ssl.xml /ranger-security.xml
2. Apache Ranger授权策略模型
Apache Atlas的Apache Ranger授权策略模型支持3个资源层次结构,以控制对类型,实体和管理操作的访问。以下图像显示了Apache Ranger中每种策略的各种详细信息。
类型 遵循授权策略允许用户’admin’创建/更新/删除任何分类类型。
实体 遵循授权策略允许用户’admin’对名为“my_db”的Hive数据库的元数据实体执行所有操作。
管理员操作 遵循授权策略允许用户’admin’执行export/import管理操作。
3. Apache Ranger访问Apache Atlas授权审计
Apache Ranger授权插件生成审核日志,其中包含插件授权的访问权限的详细信息。详细信息包括访问的对象(例如,ID为cost_savings.claim_savings@cl1的hive_table),执行的访问类型(例如,实体添加分类,实体删除分类),用户名,访问时间和IP来自访问请求的地址 - 如下图所示。
若有收获,就点个赞吧
0 人点赞
