Нужно отключить олицетворение HiveServer2 для часового

Question

Нужно отключить олицетворение HiveServer2 для часового

Я настроил Hive Authorization через Sentry и сделал все необходимые изменения. Одним из изменений является отключение олицетворения HiveServer2 путем установки свойства ниже:

hive.server2.enable.doAs to false

Это обязательное требование для Sentry, как указано в Cloudera Doc здесь. Так что для этого нужно, так как это очень стандартные требования к инструментам BI. Где один пользователь будет запускать приложение, и это будет выдавать себя за зарегистрированного пользователя. Пожалуйста, дайте мне знать, если есть какой-то аспект, который я пропускаю из-за этого ограничения.

0

hive cloudera-sentry

Источник

user1545428 26 окт '16 в 04:25

1 ответ

Другие вопросы по тегам hive cloudera-sentry

user8217507 09 июл '17 в 02:37 2017-07-09 02:37 · Answer 1 · 2017-07-09 02:37

Олицетворение, отключенное в этом случае, предполагает, что запрос будет выполняться как пользователь улья. Фактически, базовый каталог HDFS в хранилище Hive, управляющий таблицами для этого запроса, будет принадлежать пользователю hive. Тем не менее, список контроля доступа (ACL) дает "настоящему" пользователю право выполнять операции чтения, записи и / или выполнения с базовым файлом HDFS. Кроме того, "реальный" пользователь будет иметь право на операции с таблицей или столбцами в таблице. ACL и права на таблицы / столбцы составляют так называемую политику Sentry. Поскольку эта политика применяется как часть выполнения запроса Hive, нет необходимости выдавать себя за "реального" пользователя. Считайте, что файл политики Sentry является набором разрешений RBAC (т.е. контроля доступа на основе ролей). При наличии этих разрешений олицетворение не требуется.