Ranger プラグインによるアクセス制御の設定
  • PDF

Ranger プラグインによるアクセス制御の設定

  • PDF

VPC環境で利用できます。

Apache Rangerを用いて、ビッグデータエコシステムに対するセキュリティルールを実装できます。Rangerプロジェクトは、すべてのHadoopアプリケーションに一貫した方法でセキュリティガイドラインを定義し、適用するようにします。

Rangerプラグインの有効化

  1. Ambari UIにアクセスし、Services > Ranger > Configs > Ranger Pluginをクリックして設定を変更します。

    • クラスタにインストールされたサービスの種類によって有効化できるプラグインが決まります。(デフォルト値:プラグイン有効化)
    • RangerでSecurity Policyを管理するには、プラグインをONの状態に変更します。ここでは、HDFS、Hive、YARNのプラグインをすべて有効にし、構成値を保存します。
  2. HDFS、Hive、YARNサービスは再起動する必要があります。右側の [再起動] ボタンをクリックして変更された設定を適用します。

chadoop-3-8-02_ja.png

  1. Dependent Configurationsプロンプトが表示されたら、[OK] ボタンをクリックします。
    chadoop-3-8-04_ja.png

Ranger Admin UI

  1. SSL VPNにアクセスします。

  2. Cloud HadoopコンソールのクラスタリストでRanger Admin UIにアクセスするクラスタを選択し、[アプリケーション別に見る] > Rangerをクリックします。

    chadoop-3-8-03_ja.png

    また、以下のURLからRanger Admin UIに直接アクセスすることもできます。

     ```
     https://<PUBLIC-DOMAIN>:6182/
     ```
    

    chadoop-3-8-05_ja.png

    参考

    Cloud Hadoop 1.3バージョン以下のRanger UIのアカウント(ID/Password)は、それぞれadmin、adminに設定されます。
    Cloud Hadoop 1.4バージョン以上のRanger UIのアカウント(ID/Password)は、admin/{ユーザーが入力したパスワード}に設定されます。

  3. Ranger Admin UIにアクセスして、現在どのサービスにpolicyが適用されているのか確認します。

    • 事前作業でプラグインを有効にしたHDFS、Hive、YARN policyが存在することが確認できます。

    chadoop-3-8-06_ja.png

  4. HDFSのプラグインをクリックし、List of Policies画面でデフォルトで作成されたpolicyのルールを確認します。

    chadoop-3-8-07_ja.png

    • 詳細情報ページを見ると、hdfsambari-qaユーザーはすべてのpathに対しread、write、execute権限を持つことが確認できます。

      chadoop-3-8-08_ja.png

Ranger Policyを作成する

  1. Ranger Admin UIの初画面でHDFSプラグインをクリックし、List of Policies画面で [Add New Policy] ボタンをクリックします。
    chadoop-3-8-09_ja.png

  2. 以下のように新しいルールを設定し、[Add] ボタンをクリックします。

    • Resource Pathには他のパスを入力しても構いません。ここでは管理者アカウントのHDFSホームディレクトリを使用しました。特定のディレクトリの下位にあるすべてのファイル、または下位ディレクトリに権限を適用させるには、[Recursive] ボタンの状態を有効にします。
    • SSHアクセスアカウントのncloudがこのパスにアクセスできるように、Select Userncloudを選択します。
    • ここではRead、Write、Executeのすべての権限を付与しました。

    chadoop-3-8-10_ja.png

参考

Cloud Hadoopは、インストール時に設定した管理者アカウント(例:suewoon)に対し、HDFSホームディレクトリを基本的に作成します。

  1. lsコマンドで作成したルールが適用されたかを確認します。

    • クラスタのどのノードにアクセスしても構いません。
    • ノードにSSHアクセスし、以下のようにmkdirコマンドでncloudアカウントの/user/suewoonディレクトリに新しいディレクトリを作成し、lsコマンドでディレクトリが正常に作成されたのかテストを行います。

    chadoop-3-8-11_ja.png


この記事は役に立ちましたか?