在Metastore服务器中基于存储的授权
在Hive 0.10版本中增加了基于存储授权的metastore server安全特性。这个特性以前在HCatalog中引入过
当metastore 服务端安全策略被配置为使用基于存储的授权时,它使用与不同元数据对象对应的文件夹的文件系统权限作为授权策略的真实来源。建议在metastore中使用基于存储的授权。
从Hive 0.14开始,基于存储的授权授权对数据库和表的读权限。get_database api调用需要数据库目录读取权限。get_table_*调用获取表信息,get_partition_*调用列出需要对表目录读取权限的表分区。默认情况下使用基于存储的授权启用它。
Metastore安全参数配置:
要启用Hive metastore服务器安全性,请在hive-site.xml中设置这些参数
- hive.metastore.pre.event.listeners设置为org.apache.hadoop.hive.ql.security.authorization.AuthorizationPreEventListener。打开metastore的安全策略
- hive.security.metastore.authorization.manager设置为org.apache.hadoop.hive.ql.security.authorization.StorageBasedAuthorizationProvider。告诉hive客户端使用metastore权限校验。默认设置使用DefaultHiveMetastoreAuthorizationProvider,它实现了hive的标准授权和回收模式。要使用基于HDFS权限模式(推荐)进行授权,请按照上面的指示使用StorageBasedAuthorizationProvider。
- hive.security.metastore.authenticator.manager设置为org.apache.hadoop.hive.ql.security.HadoopDefaultMetastoreAuthenticator
- hive.security.metastore.authorization.auth.reads。设置为true,Hive metastore授权也检查读访问。默认设置是true,
本文暂时没有评论,来添加一个吧(●'◡'●)