Apache Sentry

概观 Apache Sentry是一个基于角色的粒度授权模块，适用于Hadoop。Sentry提供了对经过身份验证的用户和应用程序（如Presto）的数据控制和强制执行精确级别权限的功能。 Presto Enterprise与Apache Sentry集成，强制在Hive对象上授予相同和现有的权限。Presto将强制分配给Hive数据库，表，列和视图的权限。如果用户没有查询对象的权限，则查询将失败并返回错误。 Presto Enterprise仅可从Staburst获得。有关Presto Enterprise和Apache Sentry集成的更多信息或获得免费试用版，请联系 hello @ starburstdata 。com 。 在你开始之前 在使用Apache Sentry配置Presto之前，请验证以下先决条件： 安装了Apache Sentry和Hive的Cloudera Enterprise 5.12+。 Presto Coordinator和Presto Workers具有相应的网络访问权限，可与Apache Sentry Service进行通信。通常这是端口8038。 如果LDAP用于组映射，则Presto Coordinator和Presto Workers具有相应的网络访问权限以与LDAP服务器通信。通常这是端口636或389。 如果您是Apache

Impala 默认是以 impala 这个超级用户运行服务，执行 DML 和 DDL 操作的，要实现不同用户之间细粒度的权限控制，需要与 Sentry 整合。 Sentry 是 Apache 下的一个开源项目，它基于 RBAC 的授权模型实现了权限控制， Impala 与它整合以后，就能实现不同用户之间在应用层的权限认证，从而控制用户的 DML 、 DDL 、 DCL 操作权限。 Sentry 为确保数据安全，提供了一个统一平台，可以使用现有的 Hadoop Kerberos 实现安全认证，同时，通过 Hive 或 Impala 访问数据时可以使用同样的 Sentry 协议。本文会对 Sentry 进行简单的介绍并演示 Impala+Sentry 整合后的实际效果。 Sentry介绍 Apache Sentry 是 Cloudera 公司发布的一个用于权限控制的 Hadoop 开源组件，已于2016年3月顺利从孵化器毕业，成为 Apache 顶级项目。它基于 RBAC 的授权模型实现了细粒度的权限控制， Sentry 目前可以与 Apache Hive 、 Hive Metastore / HCatalog 、 Apache Solr 、 Impala 和 HDFS (仅限于 Hive 表数据)整合实现权限控制。以下是 Sentry 以及它与 Hadoop 其他组件整合的一张概览图