我有一个Kerberized CDH群集,其中有一些日常的oozie工作流程正在运行。所有人都使用shell,impala-shell,hive和sqoop将数据提取到Hive表(让我们调用这些表SensitiveTables)
现在,我想创建2个新的BI用户来使用群集并试验其他一些摄取的数据。
要求是这些新的BI用户:
SensitiveTables spark-submit到群集的作业除了设置Apache Sentry(这是推荐的方式)之外,是否有机会使用文件权限或ACL和服务级别授权来满足这些要求?
到目前为止,我管理(通过hadoop fs -chmod o-rwx /user/hive/warehouse/sensitive)限制通过Hive(使用用户模拟)访问SensitiveTables,但未能通过Impala(将所有作业提交到群集)用户impala)。还有什么我应该尝试的吗?
谢谢,
吉
答案 0 :(得分:1)
经过大量研究并根据我所描述的假设,答案是否定的。此外,不能以这种方式保护Metastore。