本文共 1505 字,大约阅读时间需要 5 分钟。
Ranger标记服务管理器:基于标注的访问控制策略指南
Ranger标记服务管理器能够帮助您创建和管理基于标签的访问控制策略。以下是使用Ranger进行基于标签的服务和策略管理的详细步骤说明。
1. 创建基于标注的服务
步骤1:访问服务管理器
登录到Ranger管理界面,进入“服务管理器”页面。
步骤2:添加新服务
在服务框中,点击“添加”图标。 在“创建服务”页面,填写服务名称和描述(可选)。 服务默认启用,或选择“禁用”以设置为禁用状态。 点击“添加”完成服务创建。 新服务将出现在服务管理页面。
2. 添加基于标注的策略
步骤1:访问策略页面
在Ranger主界面,选择“访问管理器” > “基于标签的策略”。
步骤2:创建新策略
在策略列表页面,点击“添加新策略”。 系统将显示“创建策略”页面。 步骤3:配置策略详细信息
填写策略信息请参阅以下表格:
| 字段 | 描述 |
| Policy Type | 默认为“Access”,可用“override”覆盖现有策略。 |
| Policy Name | 输入唯一的策略名称,必填项。 |
| TAG | 输入适用的标签名称。 |
| Description | 可选项,添加策略目的描述。 |
| Audit Logging | 启用或禁用策略审计。 |
| Policy Label | 为策略指定标签,便于后续搜索和管理。 |
| Add Validity Period | 为策略设置有效期,配置开始和结束时间。 |
| Policy Conditions | 添加布尔表达式条件。通过标签属性和值控制允许或拒绝访问。 |
| Component Permissions | 添加或编辑组件权限,支持指定组件(如Hive)。 |
步骤4:添加策略条件
使用加号(+)添加新条件,逻辑按顺序评估。 输入布尔表达式,可引用标签属性和上下文API(如ctx.getUser()和tagAttr.get('ipAddr'))。 完成输入后点击“保存”,添加新条件。
3. 配置基于PII标忆的策略
步骤1:创建PII策略
在“策略列表”页面,点击“添加新策略”。 在“创建策略”页面,填写: - 策略名称:PII
- 标签:PII
- 描述:限制访问标记为“PII”的资源。
- 审计日志:启用审计。
步骤2:设置组件权限
添加Hive组件权限,选择所有权限。 配置允许“audit”组访问PII标记资源,拒绝其他用户。
4. 默认过期标签策略
查看默认策略
在“策略列表”页面,找到默认策略“EXPIRES_ON”。 点击编辑图标,查看默认策略规则:拒绝访问标签属性中过期日期后的资源。
5. 导入和导出策略
导入基于标注的策略
在“基于标注的策略”页面,点击导入图标。 选择要导入的JSON文件。 配置导入选项: - 覆盖策略:删除目标存储库策略。
- 分区映射:指定导入目标存储库。
点击导入开始,完成后查看导入状态。
6. 导出策略
从服务管理器导出
在“服务管理器”页面,点击导出按钮。 可选设置:删除组件或特定服务。 文件将以JSON格式下载。 从报告页面导出
在“报告”页面,应用过滤器(如组或资源)。 点击导出按钮,选择格式(JSON、Excel、CSV)。 文件将在浏览器中下载。
注意事项
导入策略要求:支持MariaDB 10.1.16+、MySQL 5.6.x+等数据库版本。 使用角色管理员:管理员角色可导入/导出基于资源和标签的策略。 ** USSR+, Doctrine 和 JPA 等技术细节**:请参考官方文档和-release notes获取最新信息。 通过以上步骤,您可以轻松管理Ranger标记服务和策略,跨Hadoop组件实现高效的资源访问控制!
转载地址:http://mpqdz.baihongyu.com/