当前位置: 首页 > 编程日记 > 正文

Hive的Security配置

编程日记 2024-02-01 03:00:00

为了更好地使用好Hive,我将《Programming Hive》的Security章节取出来,翻译了一下。

Hive还是支持相当多的权限管理功能,满足一般数据仓库的使用。

Hive由一个默认的设置来配置新建文件的默认权限。

Xml代码 复制代码 收藏代码
  1. <property>  
  2. <name>hive.files.umask.value</name>  
  3. <value>0002</value>  
  4. <description>The dfs.umask value for the hive created folders</description>  
  5. </property>  
<property><name>hive.files.umask.value</name><value>0002</value><description>The dfs.umask value for the hive created folders</description>
</property>

当hive.metastore.authorization.storage.checks属性被设置成true时,
Hive将会阻止没有权限的用户进行表删除操作。
不过这个配置的默认值是false,应该设置成true

Xml代码 复制代码 收藏代码
  1. <property>  
  2. <name>hive.metastore.authorization.storage.checks</name>  
  3. <value>true</value>  
  4. <description>Should the metastore do authorization checks against   
  5. the underlying storage for operations like drop-partition (disallow
  6. the drop-partition if the user in question doesn't have permissions
  7. to delete the corresponding directory on the storage).</description>  
  8. </property>  
<property><name>hive.metastore.authorization.storage.checks</name><value>true</value><description>Should the metastore do authorization checks againstthe underlying storage for operations like drop-partition (disallowthe drop-partition if the user in question doesn't have permissionsto delete the corresponding directory on the storage).</description>
</property>

同时,Hive会尽可能地将hive.metastore.execute.setugi设置成true。

开启Hive的身份认证功能,默认是false

Xml代码 复制代码 收藏代码
  1. <property>  
  2. <name>hive.security.authorization.enabled</name>    
  3. <value>true</value>  
  4. <description>Enable or disable the hive client authorization</description>  
  5. </property>  
<property><name>hive.security.authorization.enabled</name> <value>true</value><description>Enable or disable the hive client authorization</description>
</property>

另外还有一个是表格创建者用于的权限配置项:

Xml代码 复制代码 收藏代码
  1. <property>  
  2. <name>hive.security.authorization.createtable.owner.grants</name>  
  3. <value>ALL</value>  
  4. <description>The privileges automatically granted to the owner whenever   
  5. a table gets created.An example like "select,drop" will grant select
  6. and drop privilege to the owner of the table</description>  
  7. </property>  
<property><name>hive.security.authorization.createtable.owner.grants</name><value>ALL</value><description>The privileges automatically granted to the owner whenevera table gets created.An example like "select,drop" will grant selectand drop privilege to the owner of the table</description>
</property>

这个配置默认是NULL,我们建议将其设置成ALL,让用户能够访问自己创建的表。

试验,在命令行环境开启用户认证

Shell代码 复制代码 收藏代码
  1. hive> set hive.security.authorization.enabled=true;
  2. hive> CREATE TABLE authorization_test (key int, value string);
  3. Authorization failed:No privilege 'Create' found for outputs { database:default}.   
  4. Use show grant to get more details.
hive> set hive.security.authorization.enabled=true;
hive> CREATE TABLE authorization_test (key int, value string);
Authorization failed:No privilege 'Create' found for outputs { database:default}.
Use show grant to get more details.

我们可以看到,建表需要权限了。
权限可以授予给不同的主题,如用户(USER),组(GROUP),角色(ROLES)

现在我们通过授权方式,将权限授予给当前用户:

Shell代码 复制代码 收藏代码
  1. hive> set system:user.name;
  2. system:user.name=edward
  3. hive> GRANT CREATE ON DATABASE default TO USER edward;
  4. hive> CREATE TABLE authorization_test (key INT, value STRING);
hive> set system:user.name;
system:user.name=edward
hive> GRANT CREATE ON DATABASE default TO USER edward;
hive> CREATE TABLE authorization_test (key INT, value STRING);

这样就可以创建表了。

我们可以通过SHOW GRANT命令确认我们拥有的权限:

Shell代码 复制代码 收藏代码
  1. hive> SHOW GRANT USER edward ON DATABASE default;
  2. database default
  3. principalName edward
  4. principalType USER
  5. privilege Create
  6. grantTime Mon Mar 19 09:18:10 EDT 2012  
  7. grantor edward
hive> SHOW GRANT USER edward ON DATABASE default;
database default
principalName edward
principalType USER
privilege Create
grantTime Mon Mar 19 09:18:10 EDT 2012
grantor edward

当Hive里面用于N多用户和N多张表的时候,管理员给每个用户授权每张表会让他崩溃的。
所以,这个时候就可以进行组(GROUP)授权。
Hive里的用户组的定义等价于POSIX里面的用户组。

Shell代码 复制代码 收藏代码
  1. hive> CREATE TABLE authorization_test_group(a int,b int);
  2. hive> SELECT * FROM authorization_test_group;
  3. Authorization failed:No privilege 'Select' found for inputs   
  4. { database:default, table:authorization_test_group, columnName:a}.
  5. Use show grant to get more details.
  6. hive> GRANT SELECT on table authorization_test_group to group edward;
  7. hive> SELECT * FROM authorization_test_group;
  8. OK
  9. Time taken: 0.119 seconds  
hive> CREATE TABLE authorization_test_group(a int,b int);
hive> SELECT * FROM authorization_test_group;
Authorization failed:No privilege 'Select' found for inputs
{ database:default, table:authorization_test_group, columnName:a}.
Use show grant to get more details.
hive> GRANT SELECT on table authorization_test_group to group edward;
hive> SELECT * FROM authorization_test_group;
OK
Time taken: 0.119 seconds

当给用户组授权变得不够灵活的时候,角色(ROLES)就派上用途了。
用户可以被放在某个角色之中,然后角色可以被授权。
角色不同于用户组,是由Hadoop控制的,它是由Hive内部进行管理的。

Shell代码 复制代码 收藏代码
  1. hive> CREATE TABLE authentication_test_role (a int , b int);
  2. hive> SELECT * FROM authentication_test_role;
  3. Authorization failed:No privilege 'Select' found for inputs   
  4. { database:default, table:authentication_test_role, columnName:a}.
  5. Use show grant to get more details.
  6. hive> CREATE ROLE users_who_can_select_authentication_test_role;
  7. hive> GRANT ROLE users_who_can_select_authentication_test_role TO USER edward;
  8. hive> GRANT SELECT ON TABLE authentication_test_role
  9. > TO ROLE users_who_can_select_authentication_test_role;
  10. hive> SELECT * FROM authentication_test_role;
  11. OK
  12. Time taken: 0.103 seconds  
hive> CREATE TABLE authentication_test_role (a int , b int);
hive> SELECT * FROM authentication_test_role;
Authorization failed:No privilege 'Select' found for inputs
{ database:default, table:authentication_test_role, columnName:a}.
Use show grant to get more details.
hive> CREATE ROLE users_who_can_select_authentication_test_role;
hive> GRANT ROLE users_who_can_select_authentication_test_role TO USER edward;
hive> GRANT SELECT ON TABLE authentication_test_role
> TO ROLE users_who_can_select_authentication_test_role;
hive> SELECT * FROM authentication_test_role;
OK
Time taken: 0.103 seconds

介绍一下常用的授权关键字:

ALTER更改表结构,创建分区
CREATE创建表
DROP删除表,或分区
INDEX创建和删除索引
LOCK锁定表,保证并发
SELECT查询表权限
SHOW_DATABASE查看数据库权限
UPDATE

为表加载本地数据的权限

分区表级别的授权
默认情况下,分区表的授权将会跟随表的授权
当然,也可以给每一个分区建立一个授权机制,
只需要设置表的属性PARTITION_LEVEL_PRIVILEGE设置成TRUE:

Shell代码 复制代码 收藏代码
  1. hive> ALTER TABLE authorization_part
  2. > SET TBLPROPERTIES ("PARTITION_LEVEL_PRIVILEGE"="TRUE");   
  3. Authorization failed:No privilege 'Alter' found for inputs   
  4. {database:default, table:authorization_part}.
  5. Use show grant to get more details.
hive> ALTER TABLE authorization_part
> SET TBLPROPERTIES ("PARTITION_LEVEL_PRIVILEGE"="TRUE");
Authorization failed:No privilege 'Alter' found for inputs
{database:default, table:authorization_part}.
Use show grant to get more details.

自动授权
属性hive.security.authorization.createtable.owner.grants决定了
建表者对表拥有的权限,一版情况下,有select和drop

Xml代码 复制代码 收藏代码
  1. <property>  
  2. <name>hive.security.authorization.createtable.owner.grants</name>  
  3. <value>select,drop</value>  
  4. </property>  
<property><name>hive.security.authorization.createtable.owner.grants</name><value>select,drop</value>
</property>

类似的,特定的用户可以被在表创建的时候自动授予其权限。

Xml代码 复制代码 收藏代码
  1. <property>  
  2. <name>hive.security.authorization.createtable.user.grants</name>  
  3. <value>admin1,edward:select;user1:create</value>  
  4. </property>  
<property><name>hive.security.authorization.createtable.user.grants</name><value>admin1,edward:select;user1:create</value>
</property>

当表建立的时候,管理员admin1和用户edward授予读所有表的权限。
而user1只能创建表。

同样的配置也可以作用于组授权和角色授权
hive.security.authorization.createtable.group.grants
hive.security.authorization.createtable.role.grants

转自 http://dacoolbaby.iteye.com/blog/1829545


https://www.dkcj.cn/info/1152.html

相关文章:

Docker安装Apache与运行简单的web服务——httpd helloworld

Docker运行简单的web服务——httpd helloworld目录【阅读时间&#xff1a;约5分钟】一、Docker简介二、Docker的安装与配置【CentOS环境】三、Docker运行简单的web服务——httpd helloworld四、References一、Docker简介 Docker 是一个开源的应用容器引擎&#xff0c;让开发者…

编程日记2024/02/01 02:30:00

在CentOS 6.2上搭建vim开发环境

在CentOS 6.2上搭建vim开发环境最后更新日期&#xff1a;2013-07-051.首先使用Ubuntu&#xff08;所在ip为192.168.16.230&#xff09;翻墙登陆http://www.vim.org/&#xff0c;下载其上面的vim相关插件到Ubuntu的下载目录下&#xff1a;cd ~/下载/http://ctags.sourceforge.ne…

编程日记2024/02/01 02:00:00

python基础(三元运算+深浅拷贝+函数参数)

三元运算 三元运算&#xff0c;又称三目运算&#xff0c;主要作用是减少代码量&#xff0c;是对简单的条件语句的缩写。 1 书写格式&#xff1a; 2 result 值1 if 条件 else 值2 3 即如果条件成立&#xff0c;则将值1赋给result变量&#xff0c;如果不成立&#xff0c;将值2赋…

编程日记2024/02/01 01:30:00

pythonapi是什么_python接口自动化(一)--什么是接口、接口优势、类型(详解)...

简介经常听别人说接口测试&#xff0c;接口测试自动化&#xff0c;但是你对接口&#xff0c;有多少了解和认识&#xff0c;知道什么是接口吗&#xff1f;它是用来做什么的&#xff0c;测试时候要注意什么&#xff1f;坦白的说&#xff0c;笔者之前也不是很清楚。接下来先看一下…

编程日记2024/02/01 01:00:00

【阶段小结】协同开发——这学期的Git使用小结

【阶段小结】协同开发——这学期的Git使用小结一、Git简介1. Git简单介绍2. Git工作流程以及各个区域3. Git文件状态变化二、Git安装&Git基本配置三、个人踩坑1. xcode project“抽风式”问题2. 如何拯救git仓库一、Git简介 1. Git简单介绍 Git是一个分布式版本控制软件&…

编程日记2024/02/01 00:30:01

PHP函数printf()、sprintf()的用法

printf()函数优点在于可以格式化输出 格式: %[padding_character][-][width][.precision]type 所有的转换说明都是以%开始,如果想打印一个%符号,必须用%% &#xff1b; 参数“padding_character”是可选&#xff0c;它将被用来填充变量直至所指定的宽度&#xff0c;该参数的作用…

编程日记2024/02/01 00:00:00

20150411--Dede二次开发-01

20150411--Dede二次开发-01 目录 一、目前市场流行的电子商城系统 1 二、ecshop的介绍 1 三、安装 2 四、echsop 的目录结构 5 五、分析ecshop里面程序的架构 5 六、小试牛刀把面包屑导航改成两个大于号 6 1、根据php页面找出该页面对应的模板。 6 2、找到category.dwt模板文件…

编程日记2024/01/31 23:30:00

修改cpu型号重启不变_猫头鹰展示D系列新款140毫米CPU散热器:更大散热片,能压400瓦...

猫头鹰一直以超强的CPU风冷散热器在电脑配件市场闻名遐迩&#xff0c;在台北电脑展期间&#xff0c;除了展出了概念性的无风扇CPU散热器&#xff0c;还宣布了发布D系列新款CPU散热器的计划。新的未命名的散热器相比与目前的NH-D15和NH-D15S型号要多一根热管&#xff0c;性能进一…

编程日记2024/01/31 23:00:00

管理虚拟机的艺术——有备无患

随心前言&#xff1a;求求你们多多给虚拟机做一下备份~~ 超前预告&#xff1a;下一次分享一下linux/window to go的小玩意&#xff08;把系统安装到U盘&#xff0c;即插即用&#xff09; 接下来的博客尝试一下用随笔的形式&#xff0c;来写写自己感兴趣的一些玩意&#xff0c;比…

编程日记2024/01/31 22:30:00

coreseek最大检索数只有1000的问题!

在 测试中发现&#xff0c;综艺视频只能看33页&#xff0c;每页10条&#xff0c;始终不得其解。经仔细分析&#xff0c;是csft.conf中的配置&#xff0c;下面修改说明如下&#xff1a;先将csft.conf中的searchd部分&#xff0c;将1000默认值改为10000max_matches 10000然后在调…

编程日记2024/01/31 22:00:00

iframe怎么用_怎么样减少无效URL的爬行和索引

少年老成的云晨守望同学(题外话&#xff1a;少年老成是好事哈。我20多岁时人家说我像40岁&#xff0c;我40多岁时好多人说我像30多&#xff0c;男人20到50岁可以做到基本一个样子)在网络营销实战密码网站贴了个帖子&#xff1a;《透过京东商城看国内一线B2C网站SEO通病》。建议…

编程日记2024/01/31 21:30:00

502 Server dropped connection

在本地电脑上开启了&#xff0c;全局VPN代理后&#xff0c;出现 502 报错。 502 Server dropped connection The following error occurred while trying to access http://localhost/invo/:502 Server dropped connection. 出现这种情况的原因是&#xff0c;vpn 链接挂了&…

编程日记2024/01/31 21:00:00

【OpenCV】在Linux上使用OpenCvSharp

OpenCvSharp是一个OpenCV的 .Net wrapper,应用最新的OpenCV库开发,使用习惯比EmguCV更接近原始的OpenCV,该库采用LGPL发行,对商业应用友好。

精选2024/01/31 20:42:49

DNS轮询解析是什么?

在其最简单的实现中,轮回DNS的工作方式是,不仅用一个潜在的IP地址来响应DNS请求,而且用一个潜在的IP地址列表来响应承载相同服务的几个服务器。传统的负载均衡技术通常需要专门的硬件或软件,但DNS轮询解析是一种负载分配、负载平衡或容错技术,通过管理域名系统(DNS)对来自客户计算机的地址请求的响应,按照适当的统计模型,提供多个冗余的互联网协议服务主机,将流量分散到多个服务器上。因此,虽然轮询DNS是一种简单有效的负载平衡方法,但它也存在一些限制和潜在的问题,需要根据实际情况进行选择和使用。

编程日记2024/01/31 20:42:00

自建WIN10 FTP无法访问的解决方法

由于博主使用的是校园网&#xff0c;具体NAS方案比较复杂&#xff0c;主体上是用KodCloudWin10自带FTP&#xff0c;最近发现好像自带的FTP搭建不了。 废话不多说&#xff0c;说说解决方案&#xff1a; ①首先看看防火墙设置&#xff0c;用同一局域网下的主机ping一下测试是否能…

编程日记2024/01/31 20:30:00

weiss数据结构和算法书的使用说明

《数据结构与算法分析 C语言描述》Mark Allen Weiss著&#xff0c;冯舜玺译&#xff0c;机械工业出版社。Weiss教授的经典教材三部曲之一&#xff0c;其中的C语言描述版本&#xff0c;也就是本书&#xff0c;被称为20世纪最重要的30本计算机教材之一。Mark Allen Weiss&#xf…

编程日记2024/01/31 20:00:00

Bootstrap 栅格系统 理解与总结

Bootstrap 栅格系统 学习总结 Bootstrap框架是如今最流行的前端框架之一&#xff0c;Bootstrap功能强大&#xff0c;简单易学&#xff0c;很符合实际应用场景。 只是Bootstrap的内容较多&#xff0c;新手往往不能很快的熟练运用Bootstrap。 这里&#xff0c;我就对Bootstrap中非…

编程日记2024/01/31 19:30:00

java抛出自定义异常_10 个深恶痛绝的 Java 异常。。

异常是 Java 程序中经常遇到的问题&#xff0c;我想每一个 Java 程序员都讨厌异常&#xff0c;一 个异常就是一个 BUG&#xff0c;就要花很多时间来定位异常问题。什么是异常及异常的分类请看这篇文章&#xff1a;一张图搞清楚 Java 异常机制。今天&#xff0c;栈长来列一下 Ja…

编程日记2024/01/31 19:00:00

mac删除键很慢

关闭辅助功能-慢速键 重复延迟、等待调到最低

编程日记2024/01/31 18:30:01

不相交集类以及应用迷宫生成

简单介绍&#xff1a; 考虑一个迷宫的生成&#xff0c;一个简单算法就是从各处的墙壁开始&#xff08;除入口和出口之外&#xff09;。此时&#xff0c;不断地随机选择一面墙&#xff0c;如果被该墙分割的单元彼此不联通&#xff0c;那么就把这面墙拆掉。重复这个过程直到开始单…

编程日记2024/01/31 18:00:01

Ajax 完整教程

转载&#xff1a;http://www.cnblogs.com/Garden-blog/archive/2011/03/11/1981778.html Ajax 完整教程第 1 页 Ajax 简介Ajax 由 HTML、JavaScript™ 技术、DHTML 和 DOM 组成&#xff0c;这一杰出的方法可以将笨拙的 Web 界面转化成交互性的 Ajax 应用程序。本文的作者是一位…

编程日记2024/01/31 17:30:00

python嵩天课后思考题_Python语言程序设计基础(第二版)嵩天等课后习题答案

第一次博文 Time&#xff1a;2018年04月28日 星期六 11:37二次补充 2018年05月02日第一章 程序设计基本方法 P29# 1.1字符串的拼接str1 input("请输入一个人的名字&#xff1a;")str2 input("请输入一个地点&#xff1a;")print("世界这么大&#x…

编程日记2024/01/31 17:00:00

mac OneNote恢复历史记录

由于mac OneNote是个废物&#xff0c;因此还是得通过网页版OneNote或者win版OneNote来操作 网页端OneNote-对应笔记本页面 然后复制过去就可以恢复了

编程日记2024/01/31 16:30:00

【C#公共帮助类】10年代码,最全的系统帮助类

这个帮助类主要包含&#xff1a;对象转换处理 、分割字符串、截取字符串、删除最后结尾的一个逗号、 删除最后结尾的指定字符后的字符、 生成指定长度的字符串、 生成日期随机码、 生成随机字母或数、字 截取字符长度、 对象<-->JSON 4.0使用、 对象<-->JSON 2.0使…

编程日记2024/01/31 16:00:02

三十之惑–面霸的八月(第一部分)

三十之惑 –面霸的八月 题记&#xff1a; 三十几岁了&#xff0c;从sina大学肄业后&#xff0c;在外面漂泊&#xff0c;不好不坏。 从好的角度讲&#xff0c;这几年自己的技术没有减退&#xff0c;偶尔也还能够略有深入&#xff0c;同时能够更多的接触到产品、运营、甚至营销&a…

编程日记2024/01/31 15:30:00

python小工具封装_python接口自动化(二)——封装需要用到的工具类

封装需要用的工具类&#xff1a;1、封装读取Excel的工具类&#xff0c;这里选用的是pandas&#xff1a;importpandas as pdpath ‘test.xlsx‘sheet_name ‘test_data‘classwith_excel:#构造函数&#xff0c;调用类时就运行def __init__(self, pathNone, sheet_nameNone):if p…

编程日记2024/01/31 15:00:00

三十之惑–面霸的八月(第二部分)

书接上回&#xff0c;今天叙述小米的面试经历。 这里可能有一些技术理解和技术方案&#xff0c;欢迎讨论。另昨天共计收入7笔共95元&#xff0c;够我喝几杯咖啡了&#xff0c;谢谢所有捐钱的朋友。 如果你心疼我码字辛苦&#xff0c;有钱朋友钱场&#xff0c;没钱的请拉朋友来捧…

编程日记2024/01/31 14:30:01

Curator Cache

1.Curator Cache 与原生ZooKeeper Wacher区别 原生的ZooKeeper Wacher是一次性的&#xff1a;一个Wacher一旦触发就会被移出&#xff0c;如果你想要反复使用Wacher&#xff0c;就要在Wacher被移除后重新注册&#xff0c;使用起来很麻烦。使用Curator Cache 可以反复使用Wacher了…

编程日记2024/01/31 14:00:00

程序可以在硬件之间发送吗_你知道硬件、软件工程师之间,还有一个固件工程师吗?...

软件跟硬件之间的界限已经越来越模糊了&#xff0c;那么处于这个灰色地带的&#xff0c;就是固件了。这就分成三类工作者。1、软件工程师一般指做图形界面的程序员&#xff0c;工作内容就是写C、JAVA、Web等。2、硬件工程师当然是指玩电路板的&#xff0c;工作内容就是画原理图…

编程日记2024/01/31 13:30:00

悲催的跨平台文献管理能力

1.古老的TCP交互 邮箱、FTP、硬盘 2.用现成软件Zotero 免费、跨平台、导入后在Win福昕注释可实时同步mac看看 人生苦短&#xff0c;我用Zotero。。

编程日记2024/01/31 13:00:00