Apache Flink 中文用户邮件列表

请教一下flink链接hive的权限控制

classic Classic list List threaded Threaded
5 messages Options
faaron zheng
Reply | Threaded
Open this post in threaded view
|

请教一下flink链接hive的权限控制

faaron zheng
Hi all, 我在使用flink sql-client链接hive metastore的时候,发现好像没有做任何权限控制,可以访问所有的表?这一块是没做么?有什么计划么?
华小研
Reply | Threaded
Open this post in threaded view
|

回复:请教一下flink链接hive的权限控制

华小研
我们当前用的是kerberos认证,需要额外配置什么么? xiaoyan hua 邮箱:[hidden email] 签名由 网易邮箱大师 定制 在2020年08月25日 15:54,faaron zheng 写道: Hi all, 我在使用flink sql-client链接hive metastore的时候,发现好像没有做任何权限控制,可以访问所有的表?这一块是没做么?有什么计划么?
Rui Li
Reply | Threaded
Open this post in threaded view
|

Re: 请教一下flink链接hive的权限控制

Rui Li
Hi,

Authentication的话支持kerberos,应该正常做kinit就可以了。或者可以设置flink
security相关的参数,如security.kerberos.login.keytab和security.kerberos.login.principal。具体可以参考:
https://ci.apache.org/projects/flink/flink-docs-release-1.11/ops/config.html#auth-with-external-systems

Authorization目前HiveCatalog这边没有做。如果你的HMS启用了authorization(比如hive自身的SQL
standard authorization),那验证的动作应该发生在HMS端,对HiveCatalog也是生效的。

On Tue, Aug 25, 2020 at 4:48 PM xiaoyan hua <[hidden email]> wrote:

> 我们当前用的是kerberos认证,需要额外配置什么么? xiaoyan hua 邮箱:[hidden email] 签名由
> 网易邮箱大师 定制 在2020年08月25日 15:54,faaron zheng 写道: Hi all, 我在使用flink
> sql-client链接hive metastore的时候,发现好像没有做任何权限控制,可以访问所有的表?这一块是没做么?有什么计划么?



--
Best regards!
Rui Li
faaron zheng
Reply | Threaded
Open this post in threaded view
|

回复:请教一下flink链接hive的权限控制

faaron zheng
Hi Rui,感谢你的分享。我简单试了一下开启SQL Standard Authorization,没什么效果,不知道是我用的不对还是我们hive被定制过。此外,我发现在使用kerberos的情况下,可以通过hdfs的路径来控制权限,不过这种情况主要对外表比较有效。 在2020年08月25日 21:34,Rui Li 写道: Hi, Authentication的话支持kerberos,应该正常做kinit就可以了。或者可以设置flink security相关的参数,如security.kerberos.login.keytab和security.kerberos.login.principal。具体可以参考: https://ci.apache.org/projects/flink/flink-docs-release-1.11/ops/config.html#auth-with-external-systems Authorization目前HiveCatalog这边没有做。如果你的HMS启用了authorization(比如hive自身的SQL standard authorization),那验证的动作应该发生在HMS端,对HiveCatalog也是生效的。 On Tue, Aug 25, 2020 at 4:48 PM xiaoyan hua <[hidden email]> wrote: > 我们当前用的是kerberos认证,需要额外配置什么么? xiaoyan hua 邮箱:[hidden email] 签名由 > 网易邮箱大师 定制 在2020年08月25日 15:54,faaron zheng 写道: Hi all, 我在使用flink > sql-client链接hive metastore的时候,发现好像没有做任何权限控制,可以访问所有的表?这一块是没做么?有什么计划么? -- Best regards! Rui Li
Rui Li
Reply | Threaded
Open this post in threaded view
|

Re: 请教一下flink链接hive的权限控制

Rui Li
Hi,

不好意思,我查了一下hive文档发现SQL standard
authorization是在CLI/HS2端做的,那HiveCatalog目前没办法支持这种模式。HMS端可以用storage based
authorization,也就是你说的通过HDFS的ACL来控制权限。这种模式对外表和内表都是有效的,但管理起来一般比较繁琐,需要人工去设置路径的ACL。

On Wed, Aug 26, 2020 at 11:08 AM faaron zheng <[hidden email]> wrote:

> Hi Rui,感谢你的分享。我简单试了一下开启SQL Standard
> Authorization,没什么效果,不知道是我用的不对还是我们hive被定制过。此外,我发现在使用kerberos的情况下,可以通过hdfs的路径来控制权限,不过这种情况主要对外表比较有效。
> 在2020年08月25日 21:34,Rui Li 写道: Hi,
> Authentication的话支持kerberos,应该正常做kinit就可以了。或者可以设置flink
> security相关的参数,如security.kerberos.login.keytab和security.kerberos.login.principal。具体可以参考:
>
> https://ci.apache.org/projects/flink/flink-docs-release-1.11/ops/config.html#auth-with-external-systems
> Authorization目前HiveCatalog这边没有做。如果你的HMS启用了authorization(比如hive自身的SQL
> standard authorization),那验证的动作应该发生在HMS端,对HiveCatalog也是生效的。 On Tue, Aug 25,
> 2020 at 4:48 PM xiaoyan hua <[hidden email]> wrote: >
> 我们当前用的是kerberos认证,需要额外配置什么么? xiaoyan hua 邮箱:[hidden email] 签名由 >
> 网易邮箱大师 定制 在2020年08月25日 15:54,faaron zheng 写道: Hi all, 我在使用flink >
> sql-client链接hive metastore的时候,发现好像没有做任何权限控制,可以访问所有的表?这一块是没做么?有什么计划么? --
> Best regards! Rui Li



--
Best regards!
Rui Li
Free forum by Nabble Edit this page