为了更好地使用好Hive,我将《Programming Hive》的Security章节取出来,翻译了一下。

Hive还是支持相当多的权限管理功能,满足一般数据仓库的使用。

Hive由一个默认的设置来配置新建文件的默认权限。

  1. <property>
  2. <name>hive.files.umask.value</name>
  3. <value>0002</value>
  4. <description>The dfs.umask value for the hive created folders</description>
  5. </property>
<property>

  <name>hive.files.umask.value</name>

  <value>0002</value>

  <description>The dfs.umask value for the hive created folders</description>

</property>

当hive.metastore.authorization.storage.checks属性被设置成true时,
Hive将会阻止没有权限的用户进行表删除操作。
不过这个配置的默认值是false,应该设置成true

  1. <property>
  2. <name>hive.metastore.authorization.storage.checks</name>
  3. <value>true</value>
  4. <description>Should the metastore do authorization checks against
  5. the underlying storage for operations like drop-partition (disallow
  6. the drop-partition if the user in question doesn't have permissions
  7. to delete the corresponding directory on the storage).</description>
  8. </property>
<property>

  <name>hive.metastore.authorization.storage.checks</name>

  <value>true</value>

  <description>Should the metastore do authorization checks against

  the underlying storage for operations like drop-partition (disallow

  the drop-partition if the user in question doesn't have permissions

  to delete the corresponding directory on the storage).</description>

</property>

同时,Hive会尽可能地将hive.metastore.execute.setugi设置成true。

开启Hive的身份认证功能,默认是false

  1. <property>
  2. <name>hive.security.authorization.enabled</name>
  3. <value>true</value>
  4. <description>Enable or disable the hive client authorization</description>
  5. </property>
<property>

  <name>hive.security.authorization.enabled</name>

  <value>true</value>

  <description>Enable or disable the hive client authorization</description>

</property>

另外还有一个是表格创建者用于的权限配置项:

  1. <property>
  2. <name>hive.security.authorization.createtable.owner.grants</name>
  3. <value>ALL</value>
  4. <description>The privileges automatically granted to the owner whenever
  5. a table gets created.An example like "select,drop" will grant select
  6. and drop privilege to the owner of the table</description>
  7. </property>
<property>

  <name>hive.security.authorization.createtable.owner.grants</name>

  <value>ALL</value>

  <description>The privileges automatically granted to the owner whenever

  a table gets created.An example like "select,drop" will grant select

  and drop privilege to the owner of the table</description>

</property>

这个配置默认是NULL,我们建议将其设置成ALL,让用户能够访问自己创建的表。

试验,在命令行环境开启用户认证

  1. hive> set hive.security.authorization.enabled=true;
  2. hive> CREATE TABLE authorization_test (key int, value string);
  3. Authorization failed:No privilege 'Create' found for outputs { database:default}.
  4. Use show grant to get more details.
hive> set hive.security.authorization.enabled=true;

hive> CREATE TABLE authorization_test (key int, value string);

Authorization failed:No privilege 'Create' found for outputs { database:default}.

Use show grant to get more details.

我们可以看到,建表需要权限了。
权限可以授予给不同的主题,如用户(USER),组(GROUP),角色(ROLES)

现在我们通过授权方式,将权限授予给当前用户:

  1. hive> set system:user.name;
  2. system:user.name=edward
  3. hive> GRANT CREATE ON DATABASE default TO USER edward;
  4. hive> CREATE TABLE authorization_test (key INT, value STRING);
hive> set system:user.name;

system:user.name=edward

hive> GRANT CREATE ON DATABASE default TO USER edward;

hive> CREATE TABLE authorization_test (key INT, value STRING);

这样就可以创建表了。

我们可以通过SHOW GRANT命令确认我们拥有的权限:

  1. hive> SHOW GRANT USER edward ON DATABASE default;
  2. database default
  3. principalName edward
  4. principalType USER
  5. privilege Create
  6. grantTime Mon Mar 19 09:18:10 EDT 2012
  7. grantor edward
hive> SHOW GRANT USER edward ON DATABASE default;

database default

principalName edward

principalType USER

privilege Create

grantTime Mon Mar 19 09:18:10 EDT 2012

grantor edward

当Hive里面用于N多用户和N多张表的时候,管理员给每个用户授权每张表会让他崩溃的。
所以,这个时候就可以进行组(GROUP)授权。
Hive里的用户组的定义等价于POSIX里面的用户组。

  1. hive> CREATE TABLE authorization_test_group(a int,b int);
  2. hive> SELECT * FROM authorization_test_group;
  3. Authorization failed:No privilege 'Select' found for inputs
  4. { database:default, table:authorization_test_group, columnName:a}.
  5. Use show grant to get more details.
  6. hive> GRANT SELECT on table authorization_test_group to group edward;
  7. hive> SELECT * FROM authorization_test_group;
  8. OK
  9. Time taken: 0.119 seconds
hive> CREATE TABLE authorization_test_group(a int,b int);

hive> SELECT * FROM authorization_test_group;

Authorization failed:No privilege 'Select' found for inputs

{ database:default, table:authorization_test_group, columnName:a}.

Use show grant to get more details.

hive> GRANT SELECT on table authorization_test_group to group edward;

hive> SELECT * FROM authorization_test_group;

OK

Time taken: 0.119 seconds

当给用户组授权变得不够灵活的时候,角色(ROLES)就派上用途了。
用户可以被放在某个角色之中,然后角色可以被授权。
角色不同于用户组,是由Hadoop控制的,它是由Hive内部进行管理的。

  1. hive> CREATE TABLE authentication_test_role (a int , b int);
  2. hive> SELECT * FROM authentication_test_role;
  3. Authorization failed:No privilege 'Select' found for inputs
  4. { database:default, table:authentication_test_role, columnName:a}.
  5. Use show grant to get more details.
  6. hive> CREATE ROLE users_who_can_select_authentication_test_role;
  7. hive> GRANT ROLE users_who_can_select_authentication_test_role TO USER edward;
  8. hive> GRANT SELECT ON TABLE authentication_test_role
  9. > TO ROLE users_who_can_select_authentication_test_role;
  10. hive> SELECT * FROM authentication_test_role;
  11. OK
  12. Time taken: 0.103 seconds
hive> CREATE TABLE authentication_test_role (a int , b int);

hive> SELECT * FROM authentication_test_role;

Authorization failed:No privilege 'Select' found for inputs

{ database:default, table:authentication_test_role, columnName:a}.

Use show grant to get more details.

hive> CREATE ROLE users_who_can_select_authentication_test_role;

hive> GRANT ROLE users_who_can_select_authentication_test_role TO USER edward;

hive> GRANT SELECT ON TABLE authentication_test_role

> TO ROLE users_who_can_select_authentication_test_role;

hive> SELECT * FROM authentication_test_role;

OK

Time taken: 0.103 seconds

介绍一下常用的授权关键字:

ALTER 更改表结构,创建分区
CREATE 创建表
DROP 删除表,或分区
INDEX 创建和删除索引
LOCK 锁定表,保证并发
SELECT 查询表权限
SHOW_DATABASE 查看数据库权限
UPDATE

为表加载本地数据的权限

分区表级别的授权
默认情况下,分区表的授权将会跟随表的授权
当然,也可以给每一个分区建立一个授权机制,
只需要设置表的属性PARTITION_LEVEL_PRIVILEGE设置成TRUE:

  1. hive> ALTER TABLE authorization_part
  2. > SET TBLPROPERTIES ("PARTITION_LEVEL_PRIVILEGE"="TRUE");
  3. Authorization failed:No privilege 'Alter' found for inputs
  4. {database:default, table:authorization_part}.
  5. Use show grant to get more details.
hive> ALTER TABLE authorization_part

> SET TBLPROPERTIES ("PARTITION_LEVEL_PRIVILEGE"="TRUE");

Authorization failed:No privilege 'Alter' found for inputs

{database:default, table:authorization_part}.

Use show grant to get more details.

自动授权
属性hive.security.authorization.createtable.owner.grants决定了
建表者对表拥有的权限,一版情况下,有select和drop

  1. <property>
  2. <name>hive.security.authorization.createtable.owner.grants</name>
  3. <value>select,drop</value>
  4. </property>
<property>

  <name>hive.security.authorization.createtable.owner.grants</name>

  <value>select,drop</value>

</property>

类似的,特定的用户可以被在表创建的时候自动授予其权限。

  1. <property>
  2. <name>hive.security.authorization.createtable.user.grants</name>
  3. <value>admin1,edward:select;user1:create</value>
  4. </property>
<property>

  <name>hive.security.authorization.createtable.user.grants</name>

  <value>admin1,edward:select;user1:create</value>

</property>

当表建立的时候,管理员admin1和用户edward授予读所有表的权限。
而user1只能创建表。

同样的配置也可以作用于组授权和角色授权
hive.security.authorization.createtable.group.grants
hive.security.authorization.createtable.role.grants

转自 http://dacoolbaby.iteye.com/blog/1829545

Hive的Security配置的更多相关文章

  1. 【转】hive简介安装 配置常见问题和例子

    原文来自:  http://blog.csdn.net/zhumin726/article/details/8027802 1 HIVE概述 Hive是基于Hadoop的一个数据仓库工具,可以将结构化 ...

  2. hadoop2.2.0 + hbase 0.94 + hive 0.12 配置记录

    一开始用hadoop2.2.0 + hbase 0.96 + hive 0.12 ,基本全部都配好了.只有在hive中查询hbase的表出错.以直报如下错误: java.io.IOException: ...

  3. Hive的安装配置

    Hive的安装配置 Hive的安装配置 安装前准备 下载Hive版本1.2.1: 1.[root@iZ28gvqe4biZ ~]# wget http://mirror.bit.edu.cn/apac ...

  4. Hive安装与配置详解

    既然是详解,那么我们就不能只知道怎么安装hive了,下面从hive的基本说起,如果你了解了,那么请直接移步安装与配置 hive是什么 hive安装和配置 hive的测试 hive 这里简单说明一下,好 ...

  5. spring boot 之 spring security 配置

    Spring Security简介 之前项目都是用shiro,但是时过境迁,spring security变得越来越流行.spring security的前身是Acegi, acegi 我也玩过,那都 ...

  6. [hive] hive 安装、配置

    一.hive安装 1.官网下载 1.2.2版本 http://apache.fayea.com/hive/hive-1.2.2/ 2. 解压,此处目录为 /opt/hadoop/hive-1.2.2 ...

  7. Hive安装与配置--- 基于MySQL元数据

    hive是基于Hadoop的一个数据仓库工具,可以将结构化的数据文件映射为一张数据库表,并提供简单的sql查询功能,可以将sql语句转换为MapReduce任务进行运行. 其优点是学习成本低,可以通过 ...

  8. 【Hive一】Hive安装及配置

    Hive安装及配置 下载hive安装包 此处以hive-0.13.1-cdh5.3.6版本的为例,包名为:hive-0.13.1-cdh5.3.6.tar.gz 解压Hive到安装目录 $ tar - ...

  9. CentOS6安装各种大数据软件 第八章:Hive安装和配置

    相关文章链接 CentOS6安装各种大数据软件 第一章:各个软件版本介绍 CentOS6安装各种大数据软件 第二章:Linux各个软件启动命令 CentOS6安装各种大数据软件 第三章:Linux基础 ...

随机推荐

  1. [HDOJ5543]Pick The Sticks(DP,01背包)

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=5543 题意:往长为L的线段上覆盖线段,要求:要么这些线段都在L的线段上,要么有不超过自身长度一半的部分 ...

  2. sequenza细胞纯度计算

    安装sequenza bam文件要放在前面,否侧会-f命令可能识别错误 samtools mpileup a.bam -f hg19.fasta -Q 20 |gzip > normal.pil ...

  3. JAVA运算符和优先级

    1.算术运算符: ++ 和 -- 既可以出现在操作数的左边,也可以出现在右边,但结果是不同,如: ①int a=5: int b=a++: #先把a赋给b,a再自增 ②int a=5: int b=+ ...

  4. poj 1066 线段相交

    链接:http://poj.org/problem?id=1066 Treasure Hunt Time Limit: 1000MS   Memory Limit: 10000K Total Subm ...

  5. C# 创建一个日志文件

    private static string m_fileName = "C:\\ErrorMsg.txt"; public static void CreateErrorLog(s ...

  6. LINQ之路 2:C# 3.0的语言功能(上)

    在上一篇的LINQ介绍中,我们已经看到了隐式类型变量var,扩展方法(extension method)和lambda表达式的身影.没错,他们正是LINQ技术的基石,是他们让LINQ的实现成为可能,并 ...

  7. 在.bashrc文件中定义函数

    在命令行上直接定义shell函数的明显缺点是当退出shell时,函数就消失了,对于复杂的函数来说,这可能会是个问题. 一个简单的方法就是每次启动新shell的时候都会自动加载所需要的函数. 最好的办法 ...

  8. Scrum Meeting---Seven(2015-11-2)

    今日已完成任务和明日要做的任务 姓名 今日已完成任务 今日时间 明日计划完成任务 估计用时 董元财 完成了服务器实现 5h 服务器与客户端连接测试 4h 胡亚坤 客户端与服务器端的通信 2h 客户端与 ...

  9. poj1584A Round Peg in a Ground Hole

    链接 题意甚是难懂!这是第二遍做这道题了,依旧无法理解题意,搜了下题意... 首先需要判断是不是为凸多边形.(从一个顶点走一遍即可,要注意顺逆时针,题目中没有指明) 其次看一下圆是不是能够放入多边形内 ...

  10. iOS开发之真机测试

    profile 位置在  /Users/userName/Library/MobileDevice/Provisioning Profiles /Users/user_lzz/Library/Mobi ...