授权没有Sentry的Hadoop用户

时间:2017-09-22 12:47:55

标签: hadoop hive permissions impala

我有一个Kerberized CDH群集,其中有一些日常的oozie工作流程正在运行。所有人都使用shellimpala-shellhivesqoop将数据提取到Hive表(让我们调用这些表SensitiveTables

现在,我想创建2个新的BI用户来使用群集并试验其他一些摄取的数据。

要求是这些新的BI用户:

  • 应该有权访问SensitiveTables
  • 应该能够spark-submit到群集的作业
  • (可选)使用Hue

除了设置Apache Sentry(这是推荐的方式)之外,是否有机会使用文件权限或ACL和服务级别授权来满足这些要求?

到目前为止,我管理(通过hadoop fs -chmod o-rwx /user/hive/warehouse/sensitive)限制通过Hive(使用用户模拟)访问SensitiveTables,但未能通过Impala(将所有作业提交到群集)用户impala)。还有什么我应该尝试的吗?

谢谢,

1 个答案:

答案 0 :(得分:1)

经过大量研究并根据我所描述的假设,答案是否定的。此外,不能以这种方式保护Metastore。