限制对此进程组的修改访问

时间:2019-03-06 16:31:08

标签: apache-nifi apache-nifi-registry

创建了一个包含自定义处理器和一些默认处理器的进程组,并将其添加到存储桶中。

我想限制对此进程组的修改访问。

用户sys_admin可以将组添加到画布,并对其进行修改以及它的处理器。

用户test_user应该只能将其添加到画布上,而不能对其进行修改(或其处理器)。

但这不起作用。

用户test_user仅对存储桶具有读取权限。

但是test_user用户可以添加处理器组并进入并对其进行修改。

有什么办法可以限制存储桶级别的访问?

因此用户只能从存储桶中添加某些内容,而不能对其进行修改?

或者我可以对处理器组设置全局限制吗?

我基本上希望该处理器组仅由sys_admin用户修改。

感谢您的帮助!

1 个答案:

答案 0 :(得分:1)

这里有两种不同的安全模型,一种在NiFi注册表侧,另一种在NiFi侧。

在NiFi注册中心,存储桶权限控制着谁可以读写存储桶。这仅与从存储桶中检索流或将新的流版本保存到存储桶有关。

在NiFi方面,进程组权限控制谁可以创建和修改组件。

由于test_user对注册表中的存储桶具有读取访问权限,因此他们可以将此流导入具有写入访问权限的NiFi中的任何进程组。导入后,他们可以在NiFi中执行任何操作,因为这些都是NiFi方面的本地更改,但是由于他们没有对NiFi的写入权限,因此无法将新版本保存回注册表。桶。

目前,我不确定是否有办法实现您的要求。可能需要分离一些权限。当前,能力导入流是基于对要导入的流程组具有写权限,但是写权限还意味着您可以修改该组中的任何内容。