将Azure Data Lake Storage用户权限与Apache Ranger和Active Directory同步

时间:2019-05-17 09:40:22

标签: azure-active-directory azure-data-lake apache-ranger

体系结构:在Microsoft Azure上使用Hortonworks Cloudbreak部署的Bigdata群集,其存储为Azure Data Lake Storage(ADLS)。 用户将从客户端Active Directory同步到Azure Active Directory。

Apache Ranger将用于为位于ADLS中的数据实体提供基于标签和基于角色的访问,但是当从Hadoop环境外部(例如从Azure Storage Explorer)访问ADLS时,Ranger将失去控制。

问题:那么,我们如何确保 Ranger和Azure Active Directory保持同步,以便当用户从Azure Storage Explorer或Azure Portal访问ADLS时可以施加管理策略?

仅在互联网上找到相关参考文献:

http://mail-archives.apache.org/mod_mbox/ranger-user/201803.mbox/%3C0269973F-08C2-4C86-B582-3DD96341B59A@hortonworks.com%3E

1 个答案:

答案 0 :(得分:0)

由于Apache Ranger(基于策略,在运行时评估)和ADLS(按文件分配的ACL)非常不同,因此目前尚无全面的解决方案,因此权限/策略不能简单地映射到Apache Ranger并从Apache Ranger同步,

唯一的“安全解决方案”是完全锁定对数据的直接访问,并使所有数据访问都通过集群。当唯一的数据访问模型是通过群集时,这实际上是与本地HDFS使用的模型相同。

尽管使用此“安全解决方案”将减少利用ADLS的价值主张。

如果您对该功能的实施感兴趣,请将您的反馈提交给天蓝色的反馈,如果社区有足够的兴趣,产品团队将计划将其纳入路线图。 https://feedback.azure.com/forums/34192--general-feedback