Apache Ranger 1.1.0 用户指南
文章目录
- 关于本文档
- 概述
- 登录系统
- 退出系统
- Service Manager (Access Manager)
- 添加服务
- HDFS
- HBASE
- Hive
- YARN
- KNOX
- STORM
- SOLR
- KAFKA
- NIFI
- KYLIN
- SQOOP
- ATLAS
- 编译服务
- 删除服务
- Ranger策略(Ranger Policies)
- HDFS
- 添加HDFS策略
- 查看/编辑/删除HDFS的政策
- HDFS政策的举例
- Example 1:Policy in Ranger
- Example 2: No Policies in Ranger,permission in HDFS
- HBASE
- 添加HBASE政策
- 查看/编辑/删除/撤销HBASE策略
- Hive
- 添加Hive政策
- 查看/编辑/删除/撤销HIVE策略
- YARN
- 添加YARN政策
- 查看/编辑/删除yarn政策
- KNOX
- 添加KNOX政策
- STORM
- SOLR
- KAFKA
- 添加Kafka政策
- NIFI
- KYLIN
- SQOOP
- ATLAS
- USERS/GROUPS
- Users
- 添加用户
- 编辑用户
- Groups
- 添加组
- 编辑组
- 报告(Reports)
- Audit
- Access
- Admin
- Login Sessions
- Plugins
- Plugin Status
- User Sync
- 权限(Permission)
- 权限模块
- 添加/编译权限
关于本文档
本用户指南适用于管理员策略管理。URL信息可以在安装指南或系统管理员处找到。
概述
登录系统
通过提供的用户名和密码登录到系统(管理员用户名和密码是安装时设置的admin/admin123,密码保证最低8位)。为了简单起见,用户名也显示在主页上。注意登录是区分大小写的。
退出系统
用户名显示在主页的右上角。下拉列表中提供了注销选项。
Service Manager (Access Manager)
Access Manager可以从顶部菜单栏访问。顶部菜单栏显示了管理员支持的模块列表。
Access Manager模块帮助在这些服务下添加和管理各种受支持的服务和策略。
添加服务
- 步骤1:通过单击服务管理器页面上每一列旁边的加号图标来添加服务。可以在此步骤中添加服务和其他配置属性的详细信息。添加的服务将如下所示。
- 步骤2:在“创建服务”屏幕上填充与服务类型相关的所有属性,如下所示
HDFS
标签 | 描述 |
---|---|
Service Name | 服务的名称,需要在代理配置中指定服务名称 |
Description | 提供服务描述以供参考 |
Active Status | 选择此选项来启用(Enabled)或禁用(Disabled)服务 |
Select Tag Service | 选择标签服务 |
Username | 指定可用于连接的终端系统用户名(如:hdfs用户) |
Password | 添加上面用户名的密码(如:admin) |
Namenode URL | hdfs://NAMENODE_FQDN:8020 |
Authorization Enabled | 授权包括限制对资源的访问。如果启用,用户需要授权凭据 |
Authentication Type | 指定身份验证类型(Simple, Kerberos) |
hadoop.security.auth_to_local | 它应该取自hadoop配置文件core-site.xml;使用hadoop将登录凭证映射到用户名 |
dfs.datanode.kerberos.principal | 它应该取自hadoop配置文件hdfs-site.xml;仅在启用kerberos身份验证时才提供;与datanode相关的原理 |
dfs.namenode.kerberos.principal | 它应该取自hadoop配置文件hdfs-site.xml;仅在启用kerberos身份验证时才提供;与namenode相关的原则 |
dfs.secondary.namenode.kerberos.principal | 应从hadoop配置文件hdfs-site.xml中获取;仅在启用kerberos身份验证时才提供;与次级namenode相关联的主体 |
RPC Protection Type | 只有授权用户才能查看,使用和贡献数据集;Authentication(认证);Integrity(完整);Privacy(隐私) |
Common Name for Certificate | 指定证书的名称 |
Add New Configurations | 指定任何其他新配置 |
HBASE
标签 | 描述 |
---|---|
Service Name | 服务的名称,需要在代理配置中指定服务名称 |
Description | 提供任何描述以供参考 |
Active Status | 可以选择此选项来启用(Enabled)或禁用(Disabled)服务 |
Select Tag Service | 选择标签服务 |
Username | 指定可用于连接的最终系统用户名(如:hbase) |
Password | 添加上面用户名的密码(如:admin) |
hadoop.security.authentication | 指定身份验证类型(Simple, Kerberos) |
hbase.master.kerberos.principal | 属性指定Kerberos主体HBase Master(只适用于支持Kerberos的环境) |
hbase.security.authentication | 设置必须与此属性(Simple, Kerberos)的hbase-site.xml设置匹配 |
hbase.zookeeper.property.clientPort | 设置必须与此属性的hbase-site.xml设置匹配(默认值为:2181) |
hbase.zookeeper.quorum | 设置必须与此属性的hbase-site.xml设置匹配 |
zookeeper.znode.parent | 设置必须与此属性的hbase-site.xml设置匹配 |
Common Name for Certificate | 指定证书的公共名称 |
Add New Configurations | 指定任何其他新配置 |
Hive
标签 | 描述 |
---|---|
Service Name | 服务的名称,需要在代理配置中指定服务名称 |
Description | 提供服务描述以供参考 |
Active Status | 可以选择此选项来启用(Enabled)或禁用(Disabled)服务 |
Select Tag Service | 选择标签服务 |
Username | 指定可用于连接的最终系统用户名(如:hive) |
Password | 添加上面用户名的密码(如:admin) |
jdbc.driverClassName | 驱动程序用于Hive连接的完整类名,缺省HiveServer2类名是:org.apache.hive.jdbc.HiveDriver |
jdbc.url | jdbc:hive2://HIVE_FQDN:10000 |
Common Name for Certificate | 指定证书的公共名称 |
Add New Configurations | 指定任何其他新配置 |
YARN
标签 | 描述 |
---|---|
Service Name | 服务的名称,需要在代理配置中指定服务名称 |
Description | 提供服务描述以供参考 |
Active Status | 您可以选择此选项来启用(Enabled)或禁用(Disabled)服务 |
Select Tag Service | 选择标签服务 |
Username | 指定可用于连接的最终系统用户名(如:yarn) |
Password | 添加上面用户名的密码(如:admin) |
YARN REST URL | http or https: //RESOURCEMANAGER_FQDN:8088 |
Authentication Type | 指定身份验证类型(Simple, Kerberos) |
Common Name for Certificate | 指定证书的公共名称 |
Add New Configurations | 指定新配置 |
KNOX
标签 | 描述 |
---|---|
Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
Description | 提供服务描述以供参考 |
Active Status | 您可以选择此选项来启用或禁用服务 |
Select Tag Service | 选择标签服务 |
Username | 指定可用于连接的最终系统用户名 |
Password | 添加上面用户名的密码 |
knox.url | 用于knox的网关url |
Common Name for Certificate | 指定证书的名称 |
Add New Configurations | 指定任何其他新配置 |
STORM
标签 | 描述 |
---|---|
Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
Description | 提供服务描述以供参考 |
Active Status | 您可以选择此选项来启用或禁用服务 |
Select Tag Service | 选择标签服务 |
Username | 指定可用于连接的最终系统用户名 |
Password | 添加上面用户名的密码 |
Nimbus URL | nimbus格式的主机名http://:8080 |
Common Name for Certificate | 指定证书的名称 |
Add New Configurations | 指定任何其他新配置 |
SOLR
标签 | 描述 |
---|---|
Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
Description | 提供服务描述以供参考 |
Active Status | 您可以选择此选项来启用或禁用服务 |
Select Tag Service | 选择标签服务 |
Username | 指定可用于连接的最终系统用户名 |
Password | 添加上面用户名的密码 |
Solr URL | http://Solr_host:6083 |
Ranger Plugin SSL CName | 提供common.name.for.certificate,该证书在Ranger中注册(在有线加密环境中) |
Add New Configurations | 指定任何其他新配置 |
KAFKA
标签 | 描述 |
---|---|
Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
Description | 提供服务描述以供参考 |
Active Status | 您可以选择此选项来启用或禁用服务 |
Select Tag Service | 选择标签服务 |
Username | 指定可用于连接的最终系统用户名 |
Password | 添加上面用户名的密码 |
Zookeeper Connect String | 默认为localhost:2181(提供zookeeper host:2181的FQDN) |
Ranger Plugin SSL CName | 提供common.name.for.certificate,该证书在Ranger中注册(在有线加密环境中) |
Add New Configurations | 指定任何其他新配置 |
NIFI
标签 | 描述 |
---|---|
Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
Description | 提供服务描述以供参考 |
Active Status | 您可以选择此选项来启用或禁用服务 |
Select Tag Service | 选择标签服务 |
NiFi URL | |
Authentication Type | |
Keystore | |
Keystore Type | |
Keystore Password | |
Truststore | |
Truststore Type | |
Truststore Password | |
Add New Configurations |
KYLIN
标签 | 描述 |
---|---|
Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
Description | 提供服务描述以供参考 |
Active Status | 您可以选择此选项来启用或禁用服务 |
Select Tag Service | 选择标签服务 |
Username | 指定可用于连接的最终系统用户名 |
Password | 添加上面用户名的密码 |
Kylin URL | |
Add New Configurations | 指定任何其他新配置 |
SQOOP
标签 | 描述 |
---|---|
Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
Description | 提供服务描述以供参考 |
Active Status | 您可以选择此选项来启用或禁用服务 |
Select Tag Service | 选择标签服务 |
Username | 指定可用于连接的最终系统用户名 |
Sqoop URL | |
Add New Configurations | 指定任何其他新配置 |
ATLAS
标签 | 描述 |
---|---|
Service Name | 服务的名称,您将需要在代理配置中指定服务名称 |
Description | 提供服务描述以供参考 |
Active Status | 您可以选择此选项来启用或禁用服务 |
Select Tag Service | 选择标签服务 |
Username | 指定可用于连接的最终系统用户名 |
Password | 添加上面用户名的密码 |
atlas.rest.address | |
Common Name for Certificate | 指定证书的名称 |
Add New Configurations | 指定任何其他新配置 |
编译服务
您可以编辑服务细节,包括每个服务名称旁边的edit图标中的配置属性
删除服务
您可以通过单击“管理服务”页面上列出的每个服务名称旁边的“删除”按钮来删除服务
Ranger策略(Ranger Policies)
HDFS
添加HDFS策略
可以从HDFS策略列表页面为特定服务添加一个新策略。在添加时,策略应列在下表中。可以通过提供的搜索过滤器搜索策略。
- 步骤1:单击清单页面上的Add New Policy按钮
- 步骤2:创建政策形式
标签 | 描述 |
---|---|
Policy Type | |
Policy Name | 输入适当的策略名称。不能为相同的服务类型(HDFS)复制此名称。这个字段是强制性的 |
Policy Label | |
Resource Path | 定义文件夹/文件的资源路径。您可以添加通配符,如/home*,以避免写入完整路径,并为所有子文件夹或文件启用该策略 |
Description | 可以包括正在创建的策略的描述 |
Audit Logging | 指示是否将审计此策略 |
Select Group | 从用户组列表中选择一个特定的组并为该组选择权限 |
Select User | 从用户列表中选择一个特定的用户并为该用户选择权限 |
Delegate Admin | 当策略被分配给一个用户或一组用户时,这些用户将成为委托的管理员。被授权的管理员可以更新、删除策略。它还可以基于原始策略(基本策略)创建子策略 |
- 创建策略时的权限
权限 | 描述 |
---|---|
Read | 允许用户执行读取操作 |
Write | 允许用户执行写操作 |
Execute | 允许用户执行执行操作 |
Select/Deselect All | 全选/取消全选 |
- 步骤3:策略使用唯一id创建
查看/编辑/删除HDFS的政策
可以通过单击策略行旁边的编辑/删除按钮从HDFS策略列表页面编辑/删除策略。
HDFS政策的举例
Example 1:Policy in Ranger
在下面的示例中,我们创建了一个策略’ HDFS_POLICY ‘,它具有资源路径/home,具有读、写、执行、委托管理权限,并将其分配给ranger
以“ranger”用户登录并尝试创建一个目录home。用户将被允许创建目录,因为它拥有对具有资源路径/home的策略’ HDFS_POLICY '的读、写和执行权限
操作日志。如果被允许,结果将以“允许”的形式出现;如果被拒绝,结果将以“拒绝”的形式出现。
在下面的示例中,我们修改了策略为’ HDFS_POLICY ',具有资源路径/home的读权限
当用户试图在资源路径中创建目录时,应用程序将抛出一个拒绝权限的错误
在为操作生成的日志中,由于用户没有写权限,结果将以“拒绝”的形式出现。请注意,“访问强制器”列将显示强制器(ranger-acl或hadoop-acl)
Example 2: No Policies in Ranger,permission in HDFS
HDFS组件没有服务策略
当用户“ranger”试图在资源路径应用程序中创建名称为“目录”的目录时,将抛出一个错误
如果在为操作生成的日志中拒绝权限,则结果将被“拒绝”
HBASE
添加HBASE政策
您可以从HBASE策略列表页面添加一个新策略。在添加时,策略应列在下表中。可以通过’ column ‘、’ column family ‘、’ Group name ‘、’ Policy name ‘、’ Status’、‘Table’、’ Username '来搜索策略。
- 步骤1:单击清单页面上的Add New Policy按钮
- 创建Hbase策略
标签 | 描述 |
---|---|
Policy Type | |
Policy Name | 输入适当的策略名称。不能为相同的服务类型(Hbase)复制此名称。这个字段是强制性的 |
Policy Label | |
HBase Table | 选择适当的表。可以为特定策略选择多个表。这个字段是强制性的 |
HBase Column-family | 对于选定的表,选择将适用该策略的列族 |
HBase Column | 对于选定的表和列族,选择策略将适用于其的列 |
Description | 对策略适当描述 |
Audit Logging | 选择是否审计特定的策略 |
Select Group | 从用户组列表中选择一个特定的组并为该组选择权限。选择admin权限将指定该组为所选资源的admin |
Select User | 从用户列表中选择一个特定的用户并为该用户选择权限。选择admin权限将指定用户为所选资源的admin |
Delegate Admin | 授权管理员 |
Enable/Disable | 默认情况下,策略是启用的。您可以禁用策略来限制该策略的用户/组访问 |
- 创建策略时的权限
权限 | 描述 |
---|---|
Read | 允许用户执行读取操作 |
Write | 允许用户执行写操作 |
Create | 允许用户执行创建操作 |
Admin | 这将为用户提供委托的管理访问 |
Select/Deselect All | 全选/取消全选 |
- GRANT: HBase GRANT是一个命令,用于向用户提供对HBase数据库表的访问或特权
# 语法
grant '<user-or-group>','<permissions>','<table>'# 举例
grant 'ranger’' , 'RW' , 'testtable2'# 这将创建一个策略,并为testtable2上的ranger提供读写访问权限
这将创建一个策略,并为testtable2上的user1(ranger)提供读写访问权限
查看/编辑/删除/撤销HBASE策略
通过单击策略行旁边的view/edit/delete按钮,可以从HBASE策略列表页面查看/编辑/删除策略
- REVOKE: Hbase REVOKE是一个命令,用于从用户撤消对Hbase数据库表的访问或特权
# 语法
revoke ‘<user-or-group>','<table>'# 举例
revoke 'ranger','testtable2'
这将撤销ranger的所有权利,在hbase中,您没有像在hbase中那样为每个特权指定特定的revoke命令
Hive
添加Hive政策
您可以从Hive策略列表页面添加新策略。 添加时,该策略应列在下表中。 您可以按“数据库名称”,“表格”,“列”,“论坛名称”,“政策名称”,“状态”,“用户名”,“udf”搜索政策
- 步骤1:单击清单页面上的Add New Policy按钮
- 步骤2:添加策略表单
可以为hive数据库、hive表和hive列名的组合创建策略
标签 | 描述 |
---|---|
Policy Type | |
Policy Name | 输入适当的策略名称。不能为相同的服务类型(Hive)复制此名称。这个字段是强制性的 |
Policy Label | |
database/url/hiveservice |
选择适当的数据库。可以为特定策略选择多个数据库。这个字段是强制性的
|
table/udf |
对于所选数据库,选择策略适用的表;还可以为UDF设置策略。用户定义的函数。输入适当的udf
|
Hive Column | 对于选定的数据库和表,选择策略适用的列 |
Description | 对策略适当描述 |
Audit Logging | 选择是否审计特定的策略 |
Select Group | 从用户组列表中选择一个特定的组并为该组选择权限 |
Select User | 从用户列表中选择一个特定的用户并为该用户选择权限 |
Delegate Admin | |
include/exclude | include标志意味着它将考虑字段中输入的值。默认值设置为include。exclude标志将排除在该特定字段中输入的所有表名或列名 |
enable/disable | 默认情况下,策略是启用的。您可以禁用策略来限制该策略的用户/组访问 |
- 创建策略时的权限
权限 | 描述 |
---|---|
select | 允许用户执行选择操作 |
update | 允许用户执行更新操作 |
Create | 允许用户执行创建操作 |
Drop | 允许用户执行删除操作 |
Alter | 允许用户执行Alter操作 |
Index | 允许用户执行索引操作 |
Lock | 允许用户对指定的资源执行锁定操作 |
All | 允许用户执行所有操作 |
Read | 允许用户执行可读操作 |
Write | 允许用户执行可写操作 |
ReplAdmin | |
Service Admin | |
Select/Deselect all | 全选/取消全选 |
- GRANT: Hive GRANT是一个命令,用于向用户提供对Hive数据库表的访问或特权
# 语法
grant <permissions> on table <table> to user <user or group>;
# 例如
grant select on table default.newtable to user ranger;#这将创建一个策略并将select权限授予ranger
查看/编辑/删除/撤销HIVE策略
- REVOKE: Hive REVOKE是一个命令,用于从用户撤消对Hive数据库表的访问或特权
# 语法
revoke <permissions> on table <table> from user <user or group>;
# 举例
revoke select on table default.newtable from user ranger;# 这将撤销ranger中的select权限
YARN
添加YARN政策
您可以从Yarn策略列表页面添加一个新策略。在添加时,策略应列在下表中。您可以通过“组名”、“策略名”、“队列”、“状态”、“用户名”搜索策略
- 步骤1:单击清单页面上的Add New Policy按钮
- 步骤2:添加Yarn策略
标签 | 描述 |
---|---|
Policy Type | |
Policy Name | 输入适当的策略名称。此名称不能在整个系统中复制 |
Policy Label | |
Queue | yarn调度的基本单元 |
Description | 对策略适当描述 |
Audit Logging | 选择是否审计特定的策略 |
Enable/disable | 默认情况下,策略是启用的。您可以禁用策略来限制该策略的用户/组访问 |
Recursive | 您可以指示现有文件夹中的所有文件或文件夹是否都在策略之下。可以用来代替通配符 |
Select Group | 从组列表中选择一个特定的组并为该组选择权限 |
Select User | 从用户列表中选择一个特定的用户并为该用户选择权限 |
Delegate Admin | 授权管理员 |
权限 | 描述 |
---|---|
Submit-job | 允许用户在定义的队列上提交作业 |
Admin-queue | 允许用户管理管理队列 |
Select/Deselect All | 全选/取消全选 |
查看/编辑/删除yarn政策
您可以通过单击策略行旁边的view/edit/delete按钮从yarn策略列表页面查看/编辑/删除策略
KNOX
添加KNOX政策
您可以从KNOX策略清单页面添加一个新策略。在添加时,策略应列在下表中。您可以通过“策略名称”、“拓扑名称”、“服务名称”和“组”搜索策略
- 步骤1:单击清单页面上的Add New Policy按钮
STORM
SOLR
KAFKA
添加Kafka政策
您可以从KAFKA策略列表页面添加一个新策略。在添加时,策略应列在下表中。您可以通过“组名”、“策略名”、状态、主题、“用户名”搜索策略
- 步骤1:单击清单页面上的Add New Policy按钮
- 步骤2:添加Kafka策略
标签 | 描述 |
---|---|
Policy Type | |
Policy Name | 输入适当的策略名称。不能为相同的服务类型复制此名称(Kafka) |
Policy Label | |
topic/transactio | 主题是发布消息的类别或提要名称 |
Description | |
Audit Logging | 选择是否审计特定的策略 |
Select Group | 从用户组列表中选择一个特定的组并为该组选择权限。选择Kafka管理权限将为所选资源指定组为Admin |
Select User | 从用户列表中选择一个特定的用户并为该用户选择权限。选择Kafka管理权限将指定用户为所选资源的管理员 |
Policy Conditions | |
Delegate Admin | |
Enable/Disable | 默认情况下,策略是启用的。您可以禁用策略来限制该策略的用户/组访问 |
Include/Exclude | include标志意味着它将考虑字段中输入的值。默认值设置为include。exclude标志将排除在该特定文件中输入的所有表名或列名 |
标签 | 描述 |
---|---|
Publish | 向kafka主题生成器发布消息的过程 |
Consume | 在流程中只使用主题中分区的子集 |
Configure | 配置kafka代理/集群 |
Describe | 获取主题元数据的权限 |
Create | |
Delete | |
Kafka Admin | |
Idempotent Write | |
Describe Configs | |
Alter Configs | |
Select/Deselect All |
NIFI
KYLIN
SQOOP
ATLAS
USERS/GROUPS
策略权限分配给用户和组
Users
这些用户可以登录到Ranger门户并执行管理和报告任务。可以在添加用户时分配角色。只有管理员才允许创建用户和服务。“admin”/“admin user”的角色指定可以分配给新用户的角色
内部与外部用户:
内部用户是由管理员管理员创建的用户。比如:XA Policy Manager。外部用户是那些从其他系统(如Active Directory(AD)、LDAP或unix系统)同步的用户
添加用户
您可以从用户列表页面添加一个新组。在添加时,用户应该在下面的表中列出。在系统中创建的用户是您可以通过“电子邮件地址”、“角色”、“用户名”、“用户源”、“用户状态”、“可见性”搜索用户。
- 步骤1:单击用户列表页面上的Add New User按钮
- 步骤2:输入详细信息并保存
标签 | 描述 |
---|---|
User Name | 输入适当的用户名。此名称不能在整个系统中复制 |
New Password | 输入适当的密码 |
Password Confirm | 确认输入的密码 |
First Name | 输入一个合适的名字 |
Last Name | 输入适当的姓 |
Email Address | 以所需格式输入适当的第一个电子邮件地址 |
Select Role | 选择适当的角色(管理员、用户)。这是一个强制字段 |
Group | 选择用户所属的组 |
- 步骤3:设置可见性(即可见/隐藏)
单击“可见”选项后,在“用户列表”页面中选择“用户获取可见”
单击隐藏按钮后,用户从策略列表页面获得隐藏。
编辑用户
我们只能编辑内部用户。对于外部用户,只能更改角色
- Admin 登录
您可以通过单击用户名从用户列表页面编辑用户
- User 登录
您可以通过单击profile从用户列表页面编辑用户
Groups
Ranger也允许在组级别分配权限
添加组
您可以从组列表页面添加一个新组。在添加时,组应该在下表中列出。您可以通过“组名称”和“组源”可见性搜索组
- 步骤1:单击组列表页面上的Add New Group按钮
- 步骤2:输入详细信息并保存
标签 | 描述 |
---|---|
Group Name | 输入适当的用户名。此名称不能在整个系统中复制。这是一个强制字段 |
Description | 提供任何描述以供参考 |
编辑组
您可以通过单击组的名称从组列表页面编辑组。(只能由管理员执行)
- 可见性的组:隐藏组不会出现在组列表页中。要使组隐藏,请选择组组名称旁的复选框
报告(Reports)
报告模块用于随着策略数量的增加更有效地管理策略。这个页面将列出所有的政策从HDFS,HBASE,HIVE,YARN,KNOX,STORM,SOLR,KAFKA,NIFI,KYLIN,SQOOP和ATLAS。
您可以基于Search Criteria进行搜索
标签 | 描述 |
---|---|
Policy Name | 输入策略名称 |
Policy Type | 选择策略类型,例如。 访问,屏蔽,行级别过滤策略 |
Component | 选择Hadoop组件,例如。 HDFS,Hive等 |
Resource | 输入资源名称,例如。 路径,表/列名称等 |
Policy Label | 输入策略标签 |
Search By | 按用户名或组名搜索 |
Audit
目前Ranger支持定期审计。这包括在资源级别进行日志记录。它将支持基于用户、组或日期/时间等的条件审计
Access
为审核设置为“开”的所有策略提供服务活动数据。 默认服务策略配置为记录服务中的所有用户活动。 此默认策略不包含用户和组访问规则。您可以根据以下条件筛选数据
搜索条件 | 描述 |
---|---|
Access Enforcer | 按访问强制实施器名称搜索 |
Access Type | 按访问搜索类型,如READ_EXECUTE,WRITE_EXECUTE |
Client IP | 按访问资源的IP地址进行搜索 |
Cluster Name | ambari群集的名称 |
End Date | 设置结束日期 |
Resource Name | 资源名称 |
Resource Type | 基于组件按资源类型搜索。 例如。 HDFS中的路径,数据库,Hive中的表 |
Result | 按访问结果搜索,即允许/拒绝日志 |
Service Name | 服务名称 |
Service Type | 选择服务类型 |
Start Date | 设置开始日期 |
User | 用户名 |
Tags | 标签名称 |
Admin
此模块包含HDP安全管理Web UI的所有事件,包括服务、策略管理器、登录等(创建、更新、删除、密码更改等操作)。您可以根据以下内容过滤数据
搜索条件 | 描述 |
---|---|
Actions | 这些是对资源执行的操作,例如创建、更新、删除、更改密码等操作 |
Audit Type | 根据对服务、策略和用户执行的操作,有三个值资源、资产和用户 |
End Date | |
Session Id | 每次尝试登录系统时,会话计数都会递增 |
Start Date | 每个会话都存储登录时间和日期。日期范围用于过滤特定日期范围的结果 |
User | 已执行创建、更新和删除操作的用户名 |
单击操作时的差异视图(本例中为Update操作)
Login Sessions
此模块为每次登录记录与会话相关的信息。您可以基于此过滤数据
搜索条件 | 描述 |
---|---|
End Date | 每个会话都存储登录时间和日期。日期范围用于过滤特定日期范围的结果 |
IP | 登录的系统的IP |
Login Id | 通过其登录到系统的用户名 |
Login Type | 用户尝试登录的模式。(输入用户名及密码) |
Result | 基于登录成功或失败的结果 |
Session Id | 每次尝试登录系统时,会话计数都会递增 |
Start Date | 每个会话都存储登录时间和日期 |
User Agent | 每次登录系统时用户代理 |
单击会话id查看会话详细信息
Plugins
此模块显示安全代理的上载历史。此模块显示从系统导出的所有服务。可以根据以下内容过滤数据
搜索条件 | 描述 |
---|---|
Cluster Name | 导出服务操作的集群名称 |
Start/End Date | 每个代理都存储了导出时间和日期。日期范围用于过滤特定日期范围的结果 |
Http Response Code | 导出服务时得到的http状态 |
Plugin ID | 试图导出服务的代理的名称 |
Plugin IP | 试图导出服务的代理的Ip |
Service Name | 我们要导出的服务名称 |
Plugins选项卡用于检查组件是否成功地与ranger通信
Plugin Status
User Sync
权限(Permission)
权限模块
权限模块的目的是提供用户角色的灵活性。在权限模型的帮助下,管理员可以限制非管理员用户对任何模块的访问或分配权限。权限模型的主要目的是根据策略管理器、审计、报告、用户管理、密钥管理器等服务为非管理员用户分配专用角色
- 步骤1:将指针放在“设置”选项卡上。从下拉菜单中点击“权限”
- 步骤2:可以按组名、模块名和用户名搜索权限
添加/编译权限
- 步骤3:单击“操作”列下的“编辑”按钮,以访问权限清单页面上选定的用户的特定模块
- 步骤4:可以从下拉列表中选择多个用户和组
- 步骤5:如果ranger user只有Audit and Reports选项卡的权限,那么只有这两个模块是可见的,以便在用户登录时标记用户
Apache Ranger 1.1.0 用户指南相关推荐
- [转载]Guice 1.0 用户指南
http://code.google.com/p/google-guice/ 用 Guice 写 Java Guice 1.0 用户指南 (20070326 王咏刚 译自:http://docs.go ...
- Guice 1.0 用户指南
http://code.google.com/p/google-guice/ 用 Guice 写 Java Guice 1.0 用户指南 (20070326 王咏刚 译自:http://docs.go ...
- Flume 1.9.0用户指南
概述 系统要求 架构 数据流模型 复杂的流程 可靠性 可恢复性 设置 设置 agent 配置单个组件 将各个部分连接在一起 启动 agent 一个简单的例子 在配置文件中使用环境变量 记录原始数据 基 ...
- Gradle 2.0 用户指南翻译——第五十六章. 多项目构建
本文禁止w3cschool转载! 翻译项目请关注Github上的地址:https://github.com/msdx/gradledoc . 本文翻译所在分支:https://github.com/m ...
- Gradle 2.0 用户指南翻译——第二十二章. 标准的 Gradle 插件
翻译项目请关注Github上的地址: https://github.com/msdx/gradledoc 本文翻译所在分支: https://github.com/msdx/gradledoc/tre ...
- Gradle2.0用户指南翻译——第六章. 构建脚本基础
翻译项目请关注Github上的地址: https://github.com/msdx/gradledoc 本文翻译所在分支: https://github.com/msdx/gradledoc/tre ...
- Apache MINA 2.0 用户指南
http://blog.csdn.net/defonds/article/details/18315563
- Gradle 2.0 用户指南翻译——第五十章. 依赖管理
本文禁止w3cschool转载! 翻译项目请关注Github上的地址:https://github.com/msdx/gradledoc . 本文翻译所在分支:https://github.com/m ...
- 华为ultrapath命令linux,upadm常用命令 - OceanStor UltraPath for Linux 21.2.0 用户指南 04 - 华为...
命令功能 upadm show lun array=array_id {dev=lun_id}命令用于查看UltraPath软件管理的指定存储系统信息. 命令格式 upadm show lun arr ...
最新文章
- 从王者荣耀AI看人工智能与游戏结合的未来意义
- 直流UPS供电系统在数据中心机房中的应用分析
- 等号赋值与memcpy的效率问题
- 1191: 冰法斗神龙 暴力枚举
- ASP.NET MVC Module
- 关于两个php.ini的说明
- 隐马尔可夫模型(HMM)及Viterbi算法
- lintcode二叉树的锯齿形层次遍历 (双端队列)
- 漫画:什么是二叉堆?(修正版)
- ie8浏览器自定义工具栏设置教程
- 让VS2008对JQuery语法的智能感知更完美一点(转载)
- Atitit 软件与开发的未来趋势 attilax总结 1.1. Sdx软件重构世界 软件定义未来	1 1.2. 《软件和信息技术服务业发展规划(2016-2020年)》(	2 1.3. Iot物联
- 推荐2本书 《浪潮之巅》 和 《数学之美》
- HTMLTestRunner文件
- HTML 教程-菜鸟教程
- Java日期时间主要API:java.time.Duration类和java.time.Period类
- iptables屏蔽QQ与MSN
- 重庆工商职业学院计算机专业在哪个校区,重庆工商职业学院地址在哪里
- 电脑烤机了会有损伤吗,AIDA64一般烤多久
- 转战物联网·基础篇01-物联网之我见
热门文章
- 图片预览-放大镜效果
- 【HarmonyOS HiSpark IPC DIY Camera试用连载4 】 鸿蒙OS内核liteos-a如何启动第一个用户进程init_lite
- 【C#】C#客户端自动升级技术简析
- 思科ccnp认证网络工程师里MLD snooping协议简述网工必读
- 30岁打算转行做机器学习是不是晚了?
- 通达信指标公式编写常用函数(二)——HHV、LLV
- win10 通过设置加快电脑网速
- 《Introducing Monte Carlo Methods with R》第四章笔记
- 2021年最新PyCharm使用教程 --- 1、PyCharm的下载与安装
- 毕业设计-深度学习机器视觉铝型材表面缺陷识别