VPC環境で利用できます。
Rangerは Secure Hadoopコンポーネントへの細かなアクセス制御を提供します。新規ユーザーまたはグループのポリシーの追加は、以下の手順で行います。
Ranger Admin UIアクセス
Ambari Quick Linkから Ranger Admin UIにアクセスします。
クラスタ作成直後に提供するポリシーは HDFS、HIVE、YARN、KNOXです。
ADD ONの有無により、HBASE、TRINOポリシーが追加で提供されます。
Rangerポリシー管理
追加/変更/削除が必要なサービスのポリシーをクリックします。
HIVEポリシーの例は次の通りです。サービスごとにアクセス制御が可能な項目がアイコンと一緒に表示されます。
Rangerポリシー変更
Ranger Hiveのポリシーリスト画面の主な項目は、次の通りです。
- Policy Name
- Hiveサービスに登録されたポリシーです。
- Users
- 当該ポリシーに権限が付与されたユーザーアカウント名です。
- Action
- 当該ポリシーに対して実行できる機能は、次の通りです。
- View : ポリシー表示
- Edit : ポリシー変更
- Delete : ポリシー削除
Rangerポリシーの詳細設定画面では、リソース単位と権限付与対象を直接指定できます。
Select Groupまたは Select User項目を通じて、グループやユーザーを追加または削除してアクセス権を設定できます。ポリシーの保存時に指定されたユーザーのみアクセスでき、変更内容はリアルタイムで適用されます。
- database : ポリシーが適用される Hiveデータベースを指定
- table : ポリシーが適用される Hiveテーブルを指定
- Hive Column : ポリシーが適用されるカラム単位を指定
- Select Role : 特定のロール(Role)に権限を付与
- Select Group : グループ単位の権限を指定
- Select User : ユーザー単位の権限を指定
- Permissions : 選択した対象に付与する詳細権限を設定
参考
- Cloud Hadoopが初回提供する Ranger Policy以外の他のサービスの Pluginを追加で有効にしたり、新規 Policyを作成することもできます。
詳細は、Ranger Pluginでのアクセス制御設定をご参照ください。 - 基本的な Ranger Admin UIでは、Resourceと Condition設定と Audit Logを確認できます。
詳細は、Rangerによるユーザー別 HDFSアクセス権管理をご参照ください。