《CDP企业数据云平台从入门到实践》——CDP平台的安全和治理（3） https://developer.aliyun.com/article/1228321?groupCode=ClouderaCDP

5. 访问授权

3) Apache Ranger 架构

在 Apache Ranger 架构中，对外暴露的是 Ranger 管理 Portal，即进行整体权限管控的 Portal，包括两部分内容：Ranger 审计服务器和 Ranger 策略服务器，都是运用 Plugin 的方式从 Hadoop 组件中采集数据和应用策略，审计服务器会将采集来的数据放入 Solr 或 HDFS 中。Ranger 架构中的另一部分是通过 API 与遗留的工具和数据治理进行集成。

Apache Ranger 架构

4) Apache Ranger 的 ABAC 模型

Apache Ranger 支持在授权策略中使用用户、组、资源、分类和环境属性。

ABAC 使得在事先不了解特定资源、特定用户的情况下表达授权策略成为可能——这有助于避免在引入新资源或用户时需要新策略。ABAC 也可用于设置行过滤器。

• 主题、行动、资源和环境的结合。

• 使用描述性属性：AD 组，基于 Apache Atlas 的标签或分类、地理位置等。

• Ranger 的方法与 NIST 800-162 一致。

• 避免角色扩散和可管理性问题。

5) Apache Ranger：全面的可扩展授权

资源是 Apache Ranger 策略模型中的基本元素。Apache Ranger 启用策略来授权对资源的访问。在这种情况下，资源是任何需要授权访问的东西，如文件/路径、数据库、表、列、主题；但也可以是服务——比如 Apache Knox 拓扑。Apache Ranger策略模型以声明的方式捕获服务资源的详细信息——例如层次结构、区分大小写、支持行过滤器/数据屏蔽等详细信息。

• 当您登录到 Ranger 控制台时，将显示基于资源的策略服务管理器页面。您可以使用此页面为 Hadoop 资源（HDFS、HBase、Hive 等）创建服务并为这些资源添加访问策略。

单击顶部菜单中的访问管理器可打开“基于资源的策略服务管理器”页面，还显示一个子菜单，其中包含指向基于资源的策略、基于标签的策略和报告的链接（当您将鼠标悬停在访问管理器上时，也会显示此子菜单关联）。

• Access Manager>Resource Based Policies：打开 Service Manager for

Resource Based Policies 页面。您可以使用此页面为资源（HDFS、HBase、Hive 等）创建服务并为这些服务添加访问策略。

• Access Manager>Tag Based Policies：打开 Service Manager for Tag Based Policies 页面。您可以使用此页面创建基于标签的服务并向这些服务添加访问策略。使用基于标签的策略，您可以跨多个组件控制对资源的访问，而无需在每个组件中创建单独的服务和策略。

• Access Manager>Reports：打开 Reports 页面。您可以使用此页面根据策略名称、资源、组和用户名等搜索条件为基于资源和标签的策略生成用户访问报告。

• 审核：您可以使用审核页面在资源级别监控用户活动，还可以根据用户、组或时间设置条件审核。审核页面包括访问、管理、登录会话、插件、插件状态和用户同步选项卡。

• 安全区域：让您可以将基于资源和标签的服务和策略组织到单独的安全区域中。您可以为每个安全区域分配一名或多名管理员。然后，安全区域管理员可以为其安全区域创建和更新策略。

• 设置：使您能够管理策略权限并将其分配给用户和组。单击或将鼠标悬停在设置上会显示一个子菜单，其中包含指向用户/组/角色和权限页面的链接。

《CDP企业数据云平台从入门到实践》——CDP平台的安全和治理（5） https://developer.aliyun.com/article/1228317?groupCode=ClouderaCDP