Роль GENERATE_EEK и GET_METADATA в прозрачном шифровании hdfs

Мне немного неясно, что позволяют ACL для GENERATE_EEK и GET_METADATA.

Из наивного понимания прозрачного шифрования HDFS кажется, что GENERATE_EEK будет запросом на генерацию EDEK для зоны шифрования (EZ).

Так скажем предположим

1. Создайте ключ, используя пользователя keyadmin с именем keyforuserA.
2. Затем создайте политику для этого ключа, keyforuserA и предоставьте пользователю DECRYPT_EEK разрешения.
3. Создайте зону шифрования для пользователя A в /ezforuserA, предоставив пользователю права на чтение и запись для этого ez. Для этого мне нужно дать разрешение GET_METADATA на ключ keyforuserA суперпользователю hdfs либо в политике на шаге 2., либо в глобальной политике.

Теперь этот пользователь A может читать и записывать любые файлы в EZ в /ezforuserA

Когда пользователь A хочет выполнить запись в EZ, наменод запрашивает KMS генерировать EDEK, который затем передается обратно пользователю A, и, поскольку userA может выполнить DECRYPT_EEK для keyforuserA, он может читать и писать в EZ.

когда в игру вступает GENERATE_EEK? пользователю hdfs нужно это разрешение для каждого ключа?

аналогичный вопрос для GET_METADATA .. когда это вступит в игру?