我有一个Kerberized CDH群集,其中有一些日常的oozie工作流程正在运行。所有人都使用shell
,impala-shell
,hive
和sqoop
将数据提取到Hive表(让我们调用这些表SensitiveTables
)
现在,我想创建2个新的BI用户来使用群集并试验其他一些摄取的数据。
要求是这些新的BI用户:
SensitiveTables
spark-submit
到群集的作业除了设置Apache Sentry(这是推荐的方式)之外,是否有机会使用文件权限或ACL和服务级别授权来满足这些要求?
到目前为止,我管理(通过hadoop fs -chmod o-rwx /user/hive/warehouse/sensitive
)限制通过Hive(使用用户模拟)访问SensitiveTables
,但未能通过Impala(将所有作业提交到群集)用户impala
)。还有什么我应该尝试的吗?
谢谢,
吉
答案 0 :(得分:1)
经过大量研究并根据我所描述的假设,答案是否定的。此外,不能以这种方式保护Metastore。