DLF-Auth - E-MapReduce

Komponen DLF-Auth disediakan oleh Data Lake Formation (DLF). Komponen ini memungkinkan Anda mengaktifkan fitur manajemen izin data dari DLF, yang mendukung penerapan manajemen izin terperinci pada basis data, tabel, kolom, dan fungsi. Dengan cara ini, Anda dapat mengelola izin data di danau data secara terpusat. Topik ini menjelaskan cara mengaktifkan DLF-Auth untuk mengelola izin.

Informasi latar belakang

DLF adalah layanan yang dikelola sepenuhnya untuk membantu Anda membangun danau data berbasis cloud. DLF menyediakan manajemen izin terpusat dan manajemen metadata untuk danau data berbasis cloud. Untuk informasi lebih lanjut tentang DLF, lihat Apa itu Data Lake Formation?. DLF-EMR

Prasyarat

Sebuah kluster E-MapReduce (EMR) yang berisi layanan OpenLDAP telah dibuat. Untuk informasi lebih lanjut, lihat Buat Kluster.

Catatan

Saat membuat kluster EMR, Anda harus memilih DLF Unified Metadata untuk Metadata di langkah Konfigurasi Perangkat Lunak.

Batasan

DLF hanya mengizinkan pengguna RAM untuk mengelola izin. Oleh karena itu, Anda harus menggunakan fitur manajemen pengguna untuk menambahkan pengguna RAM di Konsol EMR.
Untuk informasi lebih lanjut tentang wilayah tempat Anda dapat menggunakan fitur manajemen izin data dari DLF, lihat Wilayah dan Titik Akhir yang Didukung.
Jika Anda mengaktifkan Hive atau Spark untuk DLF-Auth, Anda tidak dapat mengaktifkan atau menonaktifkan Hive atau Spark untuk Ranger. Jika Anda mengaktifkan Hive atau Spark untuk Ranger, Anda tidak dapat mengaktifkan atau menonaktifkan Hive atau Spark untuk DLF-Auth.

Tabel berikut menjelaskan versi EMR dan mesin komputasi yang didukung oleh DLF-Auth.

Versi EMR		Hive	Spark	Presto	Impala
EMR V3.X	EMR V3.39.0 dan sebelumnya	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung
	EMR V3.40.0	Didukung	Didukung	Didukung	Tidak didukung
	EMR V3.41.0 hingga EMR V3.43.1	Didukung	Didukung	Tidak didukung	Tidak didukung
	EMR V3.44.0 dan setelahnya	Didukung	Didukung	Didukung	Didukung
EMR V5.X	EMR V5.5.0 dan sebelumnya	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung
	EMR V5.6.0	Didukung	Didukung	Didukung	Tidak didukung
	EMR V5.7.0 hingga EMR V5.9.1	Didukung	Didukung	Tidak didukung	Tidak didukung
	EMR V5.10.0 dan setelahnya	Didukung	Didukung	Didukung	Didukung

Prosedur

Bagian ini menjelaskan cara mengaktifkan DLF-Auth untuk menerapkan manajemen izin sepenuhnya dikelola dan terpusat pada danau data.

Langkah 1: Aktifkan Hive di DLF-Auth

Pergi ke halaman layanan DLF-Auth.
1. Masuk ke Konsol EMR. Di bilah navigasi sisi kiri, klik EMR on ECS.
2. Di bilah navigasi atas, pilih wilayah tempat kluster Anda berada dan pilih grup sumber daya berdasarkan kebutuhan bisnis Anda.
3. Di halaman EMR on ECS, temukan kluster yang diinginkan dan klik Services di kolom Aksi.
4. Di tab Services, temukan DLF-Auth dan klik Status.
Aktifkan Hive di DLF-Auth.
1. Di bagian Ikhtisar Layanan tab Status, nyalakan enableHive.
2. Di pesan yang muncul, klik OK.
Mulai ulang HiveServer.
1. Di tab Services, temukan Hive dan klik Status.
2. Di bagian Komponen tab Status, temukan HiveServer dan klik Restart di kolom Aksi.
3. Di kotak dialog yang muncul, konfigurasikan parameter Execution Reason dan klik OK.
4. Di pesan Confirm, klik OK.

Langkah 2: Tambahkan pengguna RAM

Anda dapat menambahkan pengguna RAM dengan menggunakan fitur manajemen pengguna.

Pergi ke tab Pengguna.
1. Masuk ke Konsol EMR. Di bilah navigasi sisi kiri, klik EMR on ECS.
2. Di bilah navigasi atas, pilih wilayah tempat kluster Anda berada dan pilih grup sumber daya berdasarkan kebutuhan bisnis Anda.
3. Di halaman EMR on ECS, temukan kluster yang diinginkan dan klik Services di kolom Aksi.
4. Klik tab Users.
Di tab Users, klik Add User.
Di kotak dialog Add User, pilih pengguna RAM yang ada sebagai akun pengguna EMR dari daftar drop-down Username dan tentukan Password dan Confirm Password.
Klik OK.

Langkah 3: Verifikasi izin pengguna RAM

Penting

Jika kebijakan AliyunDLFDssFullAccess atau AdministratorAccess dilampirkan ke pengguna RAM, pengguna RAM memiliki izin yang diperlukan untuk mengakses semua sumber daya terperinci di DLF. Anda tidak perlu memberikan izin kepada pengguna RAM.

Verifikasi izin pengguna RAM sebelum memberikan izin kepada pengguna RAM.
1. Masuk ke kluster Anda dalam mode SSH. Untuk informasi lebih lanjut, lihat Masuk ke Kluster.
2. Jalankan perintah berikut untuk mengakses HiveServer2:
```
beeline -u jdbc:hive2://master-1-1:10000 -n <user> -p <password>
```
  Catatan
  Ganti <user> dan <password> dengan nama pengguna dan kata sandi yang Anda atur di Langkah 2: Tambahkan Pengguna RAM.
3. Kueri informasi tentang tabel yang ada.
  Sebagai contoh, jalankan perintah berikut untuk mengkueri tabel uji. Ganti testdb.test dengan nama sebenarnya dari tabel.
```
select * from testdb.test;
```
  Jika pengguna RAM tidak memiliki izin pada tabel, pesan kesalahan yang menunjukkan bahwa kueri gagal karena kurangnya izin akan dikembalikan.

Berikan izin kepada pengguna RAM.

Masuk ke Konsol DLF.
Di bilah navigasi sisi kiri, pilih Data Permission > Data Permissions.
Di halaman Data Permissions, klik Add Permission.

Di halaman Add Permission, konfigurasikan parameter. Tabel berikut menjelaskan parameter.

Parameter		Deskripsi
Principal	Principal Type	Tipe principal. Nilai default: Pengguna/RAM Peran.
	Choose Principal	Pengguna RAM yang ingin Anda berikan izin. Pilih pengguna yang Anda tambahkan di Langkah 2: Tambahkan pengguna RAM dari daftar drop-down Choose Principal.
Resources	Authorization Method	Metode otorisasi. Nilai default: Otorisasi Sumber Daya.
	Resource Type	Tipe sumber daya. Pilih tipe berdasarkan kebutuhan bisnis Anda. Dalam contoh ini, tabel metadata digunakan.
Permissions	Data Permission	Dalam contoh ini, Select digunakan.
	Granted Permission

Klik OK.

Verifikasi izin yang diberikan kepada pengguna RAM.
Kueri data di tabel lagi dengan mengacu pada Langkah 1. Kueri berhasil karena pengguna RAM diberikan izin Pilih.

Langkah 4: Opsional. Aktifkan otentikasi LDAP untuk Hive

Setelah Anda mengaktifkan DLF-Auth untuk mengelola izin, kami sarankan Anda mengaktifkan otentikasi Lightweight Directory Access Protocol (LDAP) untuk Hive. Dengan cara ini, semua pengguna yang terhubung ke Hive dapat menjalankan skrip terkait setelah mereka lulus otentikasi LDAP.

Pergi ke tab Layanan.
1. Masuk ke Konsol EMR. Di bilah navigasi sisi kiri, klik EMR on ECS.
2. Di bilah navigasi atas, pilih wilayah tempat kluster Anda berada dan pilih grup sumber daya berdasarkan kebutuhan bisnis Anda.
3. Di halaman EMR on ECS, temukan kluster yang diinginkan dan klik Services di kolom Aksi.
Aktifkan otentikasi LDAP.
1. Pada tab Services, klik Status di bagian Hive.
2. Nyalakan enableLDAP.
  - Kluster EMR V5.11.1 atau versi minor lebih baru dan kluster EMR V3.45.1 atau versi minor lebih baru
    1. Di bagian Service Overview, nyalakan enableLDAP.
    2. Di pesan Konfirmasi, klik OK.
  - Kluster EMR V5.11.0 atau versi minor lebih lama dan kluster EMR V3.45.0 atau versi minor lebih lama
    1. Di bagian Components, temukan HiveServer, klik ikon > enableLDAP.
    2. Di kotak dialog yang muncul, masukkan alasan eksekusi di bidang Execution Reason dan klik OK.
    3. Di kotak dialog Confirm, klik OK.
3. Mulai ulang HiveServer.
  1. Di bagian Components tab Status, temukan HiveServer dan klik Restart di kolom Aksi.
  2. Di kotak dialog yang muncul, masukkan alasan eksekusi di bidang Execution Reason dan klik OK.
  3. Di kotak dialog Confirm, klik OK.

FAQ

T: Bagaimana cara mengonfigurasi ID setiap katalog di DLF-Auth jika saya menggunakan beberapa katalog?

A: Anda dapat melakukan langkah-langkah berikut untuk mengonfigurasi ID katalog di DLF-Auth.

Catatan

Mesin komputasi Presto tidak didukung dalam versi ini. Oleh karena itu, Anda tidak perlu mengonfigurasi mesin komputasi Presto.

Pergi ke halaman layanan DLF-Auth.
1. Masuk ke Konsol EMR. Di bilah navigasi sisi kiri, klik EMR on ECS.
2. Di bilah navigasi atas, pilih wilayah tempat kluster Anda berada dan pilih grup sumber daya berdasarkan kebutuhan bisnis Anda.
3. Di halaman EMR on ECS, temukan kluster yang diinginkan dan klik Layanan di kolom Aksi.
4. Di tab Services, temukan DLF-Auth dan klik Configure.
Konfigurasikan mesin komputasi Hive.
Anda dapat mengonfigurasi mesin komputasi Hive berdasarkan kebutuhan bisnis Anda.
1. Tambahkan item konfigurasi untuk Hive.
  1. Klik tab dlf-hive-security.xml.
  2. Klik Add Configuration Item.
  3. Di kotak dialog yang muncul, atur parameter Key ke dlf.catalog.id dan parameter Value ke ID katalog DLF yang terkait dengan kluster Anda.
    Untuk mendapatkan ID katalog DLF, lihat nilai parameter dlf.catalog.id di tab Configure halaman layanan Hive.
  4. Klik OK.
  5. Di kotak dialog yang muncul, konfigurasikan parameter Execution Reason dan klik Save.
2. Mulai ulang HiveServer.
  1. Pergi ke tab Status halaman layanan Hive.
  2. Di bagian Components, temukan HiveServer dan klik Restart di kolom Aksi.
  3. Di kotak dialog yang muncul, konfigurasikan parameter Execution Reason dan klik OK.
  4. Di pesan Confirm, klik OK.
Konfigurasikan mesin komputasi Spark.
Anda dapat mengonfigurasi mesin komputasi Spark berdasarkan kebutuhan bisnis Anda.
1. Tambahkan item konfigurasi untuk Spark.
  1. Klik tab dlf-spark-security.xml.
  2. Klik Add Configuration Item.
  3. Di kotak dialog yang muncul, atur parameter Key ke dlf.catalog.id dan parameter Value ke ID katalog DLF yang terkait dengan kluster Anda.
    Untuk mendapatkan ID katalog DLF, lihat nilai parameter dlf.catalog.id di tab Konfigurasikan halaman layanan Spark.
  4. Klik OK.
  5. Di kotak dialog yang muncul, konfigurasikan parameter Execution Reason dan klik Save.
2. Mulai ulang Spark Thrift Server.
  1. Pergi ke tab Status halaman layanan Spark.
  2. Di bagian Components, temukan SparkThriftServer dan klik Restart di kolom Aksi.
  3. Di kotak dialog yang muncul, konfigurasikan parameter Execution Reason dan klik OK.
  4. Di pesan Confirm, klik OK.