Ranger プラグインによるアクセス制御の設定
- 印刷する
- PDF
Ranger プラグインによるアクセス制御の設定
- 印刷する
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
VPC環境で利用できます。
Apache Rangerを用いて、ビッグデータエコシステムに対するセキュリティルールを実装できます。Rangerプロジェクトは、すべてのHadoopアプリケーションに一貫した方法でセキュリティガイドラインを定義し、適用するようにします。
Rangerプラグインの有効化
- Ambari UIにアクセスし、Services > Ranger > [CONFIGS] > RANGER PLUGINをクリックして設定を変更します。
- クラスタにインストールされたサービスの種類によって有効化できるプラグインが決まります。(デフォルト値:プラグイン有効化)
- RangerでSecurity Policyを管理するには、プラグインを
ONの状態に変更します。ここでは、HDFS、Hive、YARNのプラグインをすべて有効にし、構成値を保存します。 - HDFSプラグインの有効化の例
- Advanced hdfs-site項目のdfs.permissions.enabledの値をtrueに設定してください。この設定を反映してこそ Ranger Audit に履歴が残ります。
- Rangerサービスの [RANGER PLUGIN] タブでPluginを有効にしなければ、Rangerを利用した権限管理が可能です。 HDFS Ranger Pluginを有効にしてください。
- HDFS、HIVE、YARN、PRESTOサービスには再起動が必要です。右上の [ACTIONS] > Restart Allをクリックし、ポップアップウィンドウの [CONFIRM RESTART ALL] をクリックして変更した設定を適用してください。
参考
左側のサイドバーで [...] > Restart All Requiredをクリックして、再起動が必要なコンポーネントを一度に再起動することもできます。
- Dependent Configurationsプロンプトが表示されたら、[OK] ボタンをクリックします。
Ranger Admin UI
- SSL VPNにアクセスします。
- SSL VPNの詳細は、SSHでクラスタノードにアクセスをご参照ください。
- Cloud HadoopコンソールのクラスタリストでRanger Admin UIにアクセスするクラスタを選択し、[アプリケーション別に見る] > Rangerをクリックします。
- 詳細内容は、アプリケーション別に見るをご参照ください。
またはコンソールのクラスタの詳細情報でドメインアドレスを確認してください。以下のようにURLでRanger Admin UIに直接アクセスできます。
https://<ドメインアドレス>:6182/
参考
- Cloud Hadoop 1.3 バージョンの Ranger UI アカウント (ID/Password) は admin/admin に設定されます。
- Cloud Hadoop 1.4バージョン以上のRanger UIのアカウント(ID/Password)は、admin/{ユーザーが入力したパスワード}に設定されます。
Ranger Admin UIにアクセスして、現在どのサービスにpolicyが適用されているのか確認します。
- 事前作業でプラグインを有効にしたHDFS、Hive、YARN policyが存在することが確認できます。
- 事前作業でプラグインを有効にしたHDFS、Hive、YARN policyが存在することが確認できます。
HDFSのプラグインをクリックし、List of Policies画面でデフォルトで作成されたpolicyのルールを確認します。
- Action >
をクリックしてください。 Select Userは、すべてのパスに対してRead、Write、Execute権限を持っていることを確認できます。
- Action >
をクリックしてください。 Select Userは、すべてのパスに対してRead、Write、Execute権限を持っていることを確認できます。
Ranger Policyを作成する
- Ranger Admin UIの最初の画面で、HDFSプラグインにデフォルトで公開される [{クラスタ名}_hadoop] ポリシーをクリックします。
- 次のように [Add New Policy] ボタンを選択してポリシーを追加してください。
Resource Pathには他のパスを入力しても構いません。ここでは管理者アカウントのHDFSホームディレクトリを使用しました。特定のディレクトリの下位にあるすべてのファイル、または下位ディレクトリに権限を適用させるには、[Recursive] ボタンの状態を有効にします。
SSHアクセスアカウントの
sshuserがこのパスにアクセスできるように、Select Userでsshuserを選択します。ここではRead、Write、Execute すべての権限を付与しました。
参考
Cloud Hadoopは、インストール時に設定した管理者アカウント(例:df-test17)に対し、HDFSホームディレクトリを基本的に作成します。
lsコマンドで作成したルールが適用されたかを確認します。- クラスタのどのノードにアクセスしても構いません。
- ノードにSSHで接続し、以下のように
mkdirコマンドでsshuserアカウントの/user/{クラスタアカウント名}ディレクトリに新しいディレクトリを作成してください。 lsコマンドでディレクトリが正しく作成されたかどうかをテストしてください。
$ hadoop fs -mkdir /user/{クラスタアカウント名}/tmp
$ hadoop fs -ls /user/{クラスタアカウント名}
- Ranger Audit UIからアクセスしようとしたログ確認が可能です。
참고
- Cloud Hadoop 1.8バージョンはPRESTOプラグインを追加提供します。
- Cloud Hadoop 1.8 バージョンは、Presto Ranger Plugin を追加提供します。
この記事は役に立ちましたか?