ranger管mysql_添加Kafka的Ranger访问权限策略
设置Kafka管理员权限
在首页中单击“Kafka”区域的组件插件名称,例如“Kafka”。
选择“Policy Name”为“all - topic”的策略,单击按钮编辑策略。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Select/Deselect All”。
设置用户对Topic的创建权限
在“Topic”配置Topic名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Create”。
说明:
目前Kafka内核支持"--zookeeper"和"--bootstrap-server"两种方式创建Topic,社区将会在后续的版本中删掉对"--zookeeper"的支持,所以建议用户使用"--bootstrap-server"的方式创建Topic。
注意:目前Kafka只支持"--bootstrap-server"方式创建Topic行为的鉴权,不支持对"--zookeeper"方式的鉴权
设置用户对Topic的删除权限
在“Topic”配置Topic名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Delete”。
说明:
目前Kafka内核支持"--zookeeper"和"--bootstrap-server"两种方式删除Topic,社区将会在后续的版本中删掉对"--zookeeper"的支持,所以建议用户使用"--bootstrap-server"的方式删除Topic。
注意:目前Kafka只支持对"--bootstrap-server"方式删除Topic行为的鉴权,不支持对"--zookeeper"方式的鉴权
设置用户对Topic的查询权限
在“Topic”配置Topic名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Describe”和“Describe Configs”。
说明:
目前Kafka内核支持"--zookeeper"和"--bootstrap-server"两种方式查询Topic,社区将会在后续的版本中删掉对"--zookeeper"的支持,所以建议用户使用"--bootstrap-server"的方式查询Topic。
注意:目前Kafka只支持对"--bootstrap-server"方式查询Topic行为的鉴权,不支持对"--zookeeper"方式的鉴权
设置用户对Topic的生产权限
在“Topic”配置Topic名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Publish”。
设置用户对Topic的消费权限
在“Topic”配置Topic名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Consume”。
说明:
因为消费Topic时,涉及到Offset的管理操作,必须同时开启ConsumerGroup的“Consume”权限,详见“设置用户对ConsumerGroup Offsets 的提交权限”
设置用户对Topic的扩容权限(增加分区)
在“Topic”配置Topic名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Alter”。
设置用户对Topic的配置修改权限
当前Kafka内核暂不支持基于“--bootstrap-server”的Topic参数修改行为,故当前Ranger不支持对此行为的鉴权操作。
设置用户对Cluster的所有管理权限
在“cluster”右侧输入并选择集群名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Kafka Admin”。
设置用户对Cluster的创建权限
在首页中单击“Kafka”区域的组件插件名称,例如“Kafka”。
选择“Policy Name”为“all - cluster”的策略,单击按钮编辑策略。
在“cluster”右侧输入并选择集群名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Create”。
说明:
对于Cluster的Create操作鉴权主要涉及以下两个场景:
集群开启了“auto.create.topics.enable”参数后,客户端向服务的还未创建的Topic发送数据的场景,此时会判断用户是否有集群的Create权限
对于用户创建大量Topic的场景,如果授予用户Cluster Create权限,那么该用户可以在集群内部创建任意Topic
设置用户对Cluster的配置修改权限
在“cluster”右侧输入并选择集群名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Alter Configs”。
说明:
此处的配置修改权限,指的是Broker、Broker Logger的配置权限。
当授予用户配置修改权限后,即使不授予配置查询权限也可查询配置详情(配置修改权限高于且包含配置查询权限)。
设置用户对Cluster的配置查询权限
在“cluster”右侧输入并选择集群名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Describe”和 “Describe Configs”。
说明:
此处查询指的是查询集群内的Broker、Broker Logger信息。该查询不涉及Topic。
设置用户对Cluster的Idempotent Write权限
在“cluster”右侧输入并选择集群名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Idempotent Write”。
说明:
此权限会对用户客户端的Idempotent Produce行为进行鉴权。
设置用户对Cluster的分区迁移权限管理
在“cluster”右侧输入并选择集群名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Alter”。
说明:
Cluster的Alter权限可以对以下三种场景进行权限控制:
Partition Reassign场景下,迁移副本的存储目录。
集群里各分区内部leader选举。
Acl管理(添加或删除)。
其中1和2都是集群内部Controller与Broker间、Broker与Broker间的操作,创建集群时,默认授予内置kafka用户此权限,普通用户授予此权限没有意义。
3涉及Acl的管理,Acl设计的就是用于鉴权,由于目前kafka鉴权已全部托管给Ranger,所以这个场景也基本不涉及(配置后亦不生效)。
设置用户对Cluster的Cluster Action权限
在“cluster”右侧输入并选择集群名。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Cluster Action”。
说明:
此权限主要对集群内部副本主从同步、节点间通信进行控制,在集群创建时已经授权给内置kakfa用户,普通用户授予此权限没有意义。
设置用户对TransactionalId的权限
在首页中单击“Kafka”区域的组件插件名称,例如“Kafka”。
选择“Policy Name”为“all - transactionalid”的策略,单击按钮编辑策略。
在“transactionalid”配置事务ID。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Publish”和 "Describe"。
说明:
“Publish”权限主要对用户开启了事务特性的客户端请求进行鉴权,例如事务开启、结束、提交offset、事务性数据生产等行为。
“Describe”权限主要对于开启事务特性的客户端与Coordinator的请求进行鉴权。
建议在开启事务特性的场景下,给用户同时授予“Publish”和“Describe”权限。
设置用户对DelegationToken的权限
在首页中单击“Kafka”区域的组件插件名称,例如“Kafka”。
选择“Policy Name”为“all - delegationtoken”的策略,单击按钮编辑策略。
在“delegationtoken”配置delegationtoken。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“ Describe”。
说明:
当前Ranger对DelegationToken的鉴权控制仅限于对查询的权限控制,不支持对DelegationToken的create、renew、expire操作的权限控制。
设置用户对ConsumerGroup Offsets 的查询权限
在首页中单击“Kafka”区域的组件插件名称,例如“Kafka”。
选择“Policy Name”为“all - consumergroup”的策略,单击按钮编辑策略。
在“consumergroup”配置需要管理的consumergroup。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Describe”。
设置用户对ConsumerGroup Offsets 的提交权限
在首页中单击“Kafka”区域的组件插件名称,例如“Kafka”。
选择“Policy Name”为“all - consumergroup”的策略,单击按钮编辑策略。
在“consumergroup”配置需要管理的consumergroup。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Consume”。
说明:
当给用户授予了ConsumerGroup的“Consume”权限后,用户会同时被授予“Describe”权限。
设置用户对ConsumerGroup Offsets 的删除权限
在首页中单击“Kafka”区域的组件插件名称,例如“Kafka”。
选择“Policy Name”为“all - consumergroup”的策略,单击按钮编辑策略。
在“consumergroup”配置需要管理的consumergroup。
在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
单击“Add Permissions”,勾选“Delete”。
说明:
当给用户授予了ConsumerGroup的“Delete”权限后,用户会同时被授予“Describe”权限。
ranger管mysql_添加Kafka的Ranger访问权限策略相关推荐
- gitlab添加成员开通项目访问权限
gitlab添加成员开通项目访问权限 项目下寻找Settings按钮,选择Members 选择Members后可以看到下面图片页面,输入用户,赋予用户权限 权限分为4种: Guest Reporter ...
- 给Elasticsearch 和Kibana添加基于角色的访问权限控制
给ELK 添加Shield权限控制 背景 这两天整个项目(电商SAAS系统)上线后,由于系统变得很大,每天产生的业务日志.访问日志.数据库慢查询.php等语言日志,都分布在不同的机器上,所以需要统一收 ...
- 【Android 性能优化】应用启动优化 ( 方法追踪代码模板 | 示例项目 | SD 卡访问权限 | 示例代码 | 获取 Trace 文件 | Android Studio 查看文件)
文章目录 一. 方法追踪代码模板 二. 追踪 Launch 页面的 onCreate 方法执行情况 1. 示例项目 2. SD 卡访问权限问题 ( 动态权限申请 ) 3. MainActivity o ...
- android 访问权限,Android 使用情况访问权限
问题描述 添加了使用情况访问权限,如果不开启权限就不让进去,但是发现如果不开启,直接点击返回的话,会再次进入页面但是下面的列表数据不出现 问题出现的环境背景及自己尝试过哪些方法 第一次出现(进软件的时 ...
- 分配的访问权限的展台应用:最佳做法
原文: 分配的访问权限的展台应用:最佳做法 best practices guidance for developing a kiosk app for assigned access. 在 Wind ...
- sql server权限_保护SQL Server审核的访问权限
sql server权限 Our organization must restrict permissions and prove to an independent party that we in ...
- java构造器 权限_一文搞懂Java的 构造方法 和 访问权限
目录 零.前言 Java是一门当今最火的编程语言之一,拥有很多现成可用的库,在我们编程生涯中,有着无比重要的地位. Java中有个概念叫做访问权限.它们是什么呢?今天我来详细讲解. 本文所有代码已经上 ...
- 如何添加团队成员,并为团队成员分配访问权限(转载)
转自http://www.cnblogs.com/ajiefj/archive/2010/04/20/1716655.html 首先要把现有开发人员添加到TFS中,第一步就是要让他拥有TFS成员资格, ...
- Xcode添加摄像机访问权限转
转帖地址:http://www.manew.com/thread-97708-1-1.html ============================================== ios系统 ...
最新文章
- Go 学习笔记(28)— nil(nil 不能比较、不是关键字或保留字、nil 没有默认类型、不同类型的 nil 指针是一样的、不同类型的 nil 是不能比较的、相同类型的 nil 可能也无法比较)
- ASP.NET画图控件 Chart Control 免费控件
- L2级自动驾驶量产趋势解读
- windows Docker Desktop 怎么改变最大内存
- 【LeetCode】104. Maximum Depth of Binary Tree (2 solutions)
- jQuery 所有版本在线引用
- Tomcat到Wildfly:配置数据库连接
- thinkphp+mysql+join+where_thinkphp5.0 多join时where无法between
- Google安装Kopernio插件
- SQL Server 数据库角色简介
- WEB-移动端图片适配-弹框
- Docker系列(十)Dockerfile指令
- java bigdecimal语法_Java Scanner hasNextBigDecimal()方法
- 《深入理解OSGi:Equinox原理、应用与最佳实践》一2.1 OSGi规范概要
- 软件工程(2018)结对编程第2次作业
- vector的底层实现!(万字长文详解!)
- Android 扫一扫功能 二维码 条形码
- Jetpack 架构组件:Room 数据库应用
- Gluster-Heketi-Kubernetes 安装步骤(以DaemonSet形式安装) Ubuntu 16.04
- Python爬取ppt工作项目模板
热门文章
- Java之HashMap.values()转List时的错误和正确操作
- Java8 stream().map()将对象转换为其他对象
- c语言随机漫步,基于最短路径的随机游走算法研究与应用
- java数据库配置_java--数据库(文件配置连接,自定义连接池)
- python数据挖掘工程师-爬虫,python工程师,数据挖掘,机器学习。我该先以哪一个为主?...
- 聊聊 vue 生命周期
- 10 - java 权限修饰符
- java运行环境_Windows系统java运行环境配置 | 吴文辉博客
- QuerWrapper常用方法
- 程序win10_win10该文件没有与之关联的程序来执行操作