本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Apache Hive 插件
Apache Hive 是 Hadoop 生态系统中流行的执行引擎。亚马逊EMR提供了 Apache Ranger 插件,能够为 Hive 提供精细的访问控制。该插件与开源 Apache Ranger Admin 服务器版本 2.0 及更高版本兼容。
支持的特征
适用于 Hive 的 Apache Ranger 插件EMR支持开源插件的所有功能,包括数据库、表、列级访问控制以及行筛选和数据屏蔽。有关 Hive 命令和关联 Ranger 权限的表,请参阅 Hive 命令到 Ranger 权限映射
安装服务配置
Apache Hive 插件与 Apache Hive Hadoop 中现有的 Hive 服务定义兼容。SQL
如果您在 Hadoop SQL 下没有该服务的实例(如上所示),则可以创建一个。点击 Hadoop SQL 旁边的 +。
-
Service Name (服务名称)(如果显示):输入服务名称。建议的值为
amazonemrhive
。记下此服务名称——创建EMR安全配置时需要使用该名称。 -
Display Name (显示名称):输入要为服务显示的名称。建议的值为
amazonemrhive
。
Apache Hive Config 属性用于建立与 Apache Ranger 管理服务器的连接,并在创建策略 HiveServer时使用 2 实现自动完成。如果您没有持续 HiveServer 2 进程,并且可以填充任何信息,则无需保证以下属性准确。
-
用户名:输入JDBC连接到 HiveServer 2 实例实例的用户名。
-
Password (密码):输入上述用户名所对应的密码。
-
jdbc.driver。 ClassName:输入 Apache Hive 连接的JDBC类名。可以使用默认值。
-
jdbc.url:输入JDBC连接到 2 时要使用的连接字符串。 HiveServer
-
Common Name For Certificate (凭证的公用名称):凭证中的 CN 字段,用于从客户端插件连接到管理服务器。此值必须与为插件创建的TLS证书中的 CN 字段匹配。
“测试连接” 按钮用于测试是否可以使用上述值成功连接到 HiveServer 2 实例。成功创建服务后,服务管理器应如下所示:
注意事项
Hive 元数据服务器
Hive 元数据服务器只能由受信任的引擎访问,特别是 Hive 和 emr_record_server
,以防未经授权的访问。Hive 元数据服务器也可以通过集群上的所有节点访问。所需的端口 9083 为所有节点提供了主节点的访问权限。
身份验证
默认情况下,Apache Hive 配置为使用安全配置中配置的 Kerberos 进行身份验证。EMR HiveServer也可以将 2 配置为使用LDAP对用户进行身份验证。有关信息,请参阅在多租户 Amazon EMR 集群上实现 Hive LDAP 身份验证
限制
以下是亚马EMR逊 5.x 上的 Apache Hive 插件的当前限制:
-
当前不支持 Hive 角色。不支持 Grant、Revoke 语句。
-
不支持 Hiv CLI e。JDBC/Beeline 是连接 Hive 的唯一授权方式。
-
hive.server2.builtin.udf.blacklist
配置中应填充您UDFs认为不安全的内容。