《CDP企业数据云平台从入门到实践》——CDP平台的安全和治理（2） https://developer.aliyun.com/article/1228323?groupCode=ClouderaCDP

5. 访问授权

授权与谁有权访问或控制给定的什么资源或服务有关。由于Hadoop将多个不同的、以前独立的 IT 系统的功能合并在一起，作为一个企业数据中心来存储和处理组织内的所有数据，因此它需要具有不同粒度的多个授权控制。在这种情况下，Hadoop 管理工具通过以下方式简化设置和维护：

• 将所有用户绑定到可以在现有 LDAP 或 AD 目录中指定的组。

• 为类似的交互方法提供基于角色的访问控制，例如批处理和交互式 SQL 查询。

例如，Apache Ranger 权限适用于 Hive（HiveServer2）和 Impala。

CDP 目前提供以下形式的访问控制：

• 传统 POSIX 样式的权限用于目录和文件，其中每个目录和文件都分配有一个所有者和组。每个任务都有一组可用的基本权限；文件权限只是读、写和执行，目录有一个额外的权限来确定对子目录的访问。

• Apache HDFS ACL 允许您为特定的命名用户或命名组设置不同的权限，从而提供对 HDFS 文件权限的细粒度控制。

• Apache HBase使用ACL按列、列族和列族限定符授权各种操作（READ，WRITE，CREATE，ADMIN）。HBase ACL 被授予和撤销给用户和组。

• 使用 Apache Ranger 进行访问控制。

1) 访问安全

在 CDP 中，访问安全主要通过 Apache Ranger 和 Apache Atlas 来完成，实现访问权限和授权的能力。

Apache Ranger 提供：

• 数据的逻辑副本。

• 所有访问路径上的一组权限。

• 细粒度的访问权限，直至列和行级别：

动态列掩码。

动态行过滤。

通过与 Apache Atlas 的结合实现基于分类的安全性。

2) Apache Ranger 功能

a) 授权Apache Ranger 通过用户界面管理访问控制，确保跨 Cloudera Data Platform（CDP）组件的一致策略管理。安全管理员可以在数据库、表、列和文件级别定义安全策略，并可以管理特定的基于 LDAP 的组或个人用户的权限。基于时间或地理位置等动态条件的规则也可以添加到现有策略规则中。Ranger 授权模型是可插入的，可以使用基于服务的定义轻松扩展到任何数据源。

一旦用户通过身份验证，就必须确定他们的访问权限。授权定义了用户对资源的访问权限。例如，可能允许用户创建策略和查看报告，但不允许编辑用户和组。您可以使用 Ranger 来设置和管理对 Hadoop 服务的访问。

Ranger 使您能够为特定资源（HDFS、HBase、Hive 等）创建服务，并为这些服务添加访问策略。Ranger 安全区域使您能够将服务资源组织到多个安全区域中。您还可以创建基于标签的服务并为这些服务添加访问策略。使用基于标签的策略，您可以跨多个组件控制对资源的访问，而无需在每个组件中创建单独的服务和策略。您还可以使用 Ranger TagSync 将 Ranger 标签存储与外部元数据服务（例如 Apache Atlas）同步。

• 集中式平台，可跨 Hadoop 生态系统一致地定义和管理安全策略。

• HDFS，Hive，HBase，YARN，Kafka，Solr，Storm，Knox，NiFi，Atlas，Impala，HMS。

• 具有自定义策略条件和上下文丰富程序的可扩展体系结构。

• 轻松添加新的组件类型以进行授权。

b) 密钥管理

• 存储和管理加密密钥策略和生命周期。

• 支持 HDFS 透明数据加密。

• 与 HSM 集成。

• Safenet（LUNA，KeySecure）。

c) 审计

Apache Ranger 提供了一个集中式框架，用于收集访问审计历史记录和报告数据，包括过滤各种参数。Ranger 增强了从 Hadoop 组件获取的审计信息，并通过这种集中报告功能提供了洞察力。

• 所有访问请求的中央审核位置。

• 支持多个目标源（HDFS，Solr 等）。

• 实时视觉查询界面。

《CDP企业数据云平台从入门到实践》——CDP平台的安全和治理（4） https://developer.aliyun.com/article/1228320?groupCode=ClouderaCDP