Atlas Ranger授权

如授权模型章节中所描述的,Apache Atlas支持可插拔授权模型。 Apache Ranger提供了一个使用Apache Ranger策略进行授权的授权器实现。此外,Apache Ranger提供的授权程序会到中央审计仓库进行审计(Audit)。

1. 配置

要配置Apache Atlas以使用Apache Ranger授权程序,请按照以下说明操作: 在atlas-application.properties配置文件中包含以下属性:

atlas.authorizer.impl=ranger

如果您使用Apache Ambari部署Apache Atlas和Apache Ranger,请在Apache Ranger的配置页面中启用Atlas插件。

  • 在Apache Atlas的libext目录中包含Apache Ranger插件库

    • /libext/ranger-atlas-plugin-impl/
    • /libext/ranger-atlas-plugin-shim-.jar
    • /libext/ranger-plugin-classloader-.jar
  • 在Apache Atlas的配置目录中包含Apache Ranger插件的配置文件 - 通常位于/etc/atlas/conf目录下。有关配置文件内容的更多详细信息,请参阅Apache Ranger中的相应文档。

  • /ranger-atlas-audit.xml
  • /ranger-atlas-security.xml
  • /ranger-policymgr-ssl.xml
  • /ranger-security.xml

2. Apache Ranger授权策略模型

Apache Atlas的Apache Ranger授权策略模型支持3个资源层次结构,以控制对类型,实体和管理操作的访问。以下图像显示了Apache Ranger中每种策略的各种详细信息。

  • 类型 遵循授权策略允许用户'admin'创建/更新/删除任何分类类型。 ranger-policy-types

  • 实体 遵循授权策略允许用户'admin'对名为“my_db”的Hive数据库的元数据实体执行所有操作。 ranger-policy-entities

  • 管理员操作 遵循授权策略允许用户'admin'执行export/import管理操作。 ranger-policy-admin

3. Apache Ranger访问Apache Atlas授权审计

Apache Ranger授权插件生成审核日志,其中包含插件授权的访问权限的详细信息。详细信息包括访问的对象(例如,ID为cost_savings.claim_savings@cl1的hive_table),执行的访问类型(例如,实体添加分类,实体删除分类),用户名,访问时间和IP来自访问请求的地址 - 如下图所示。 ranger-audit

results matching ""

    No results matching ""