このトピックでは、Ranger で Hadoop Distributed File System(HDFS)を有効化する方法と、関連する権限を設定する方法について説明します。
背景情報
Ranger と HDFS アクセス制御リスト(ACL)ベースの権限を使用して HDFS で設定した権限は、同時に有効になります。次の図は、認証プロセスを示しています。
前提条件
EMR V5.11.0 以前または EMR V3.45.0 以前のバージョンのクラスターが作成され、クラスターに Ranger と OpenLDAP が選択されています。クラスターの作成方法の詳細については、「クラスターの作成」をご参照ください。
EMR V5.11.0 以降のマイナーバージョンのクラスターと EMR V3.45.0 以降のマイナーバージョンのクラスターでは、OpenLDAP がクラスターにインストールされている場合、RangerUserSync は LDAP サーバーに自動的に接続します。Ranger サービスページの [設定] タブで ranger.usersync.sync.source 設定項目を検索して、RangerUserSync のユーザーソース(UNIX または LDAP)を表示できます。
手順
[サービス] タブに移動します。
EMR コンソール にログインします。
上部のナビゲーションバーで、クラスターが存在するリージョンを選択し、ビジネス要件に基づいてリソースグループを選択します。
EMR on ECS ページで、目的のクラスターを見つけ、[アクション] 列の [サービス] をクリックします。
Ranger で HDFS を有効にします。
表示されるページの Services タブで、Status[ranger-plugin] セクションの をクリックします。
[サービス概要] タブのセクションで、[enablehdfs] をオンにします。
確認メッセージで、[OK] をクリックします。
HDFS を再起動します。
[サービス] タブで、
アイコンをクリックし、[HDFS] を選択します。[コンポーネント] タブのセクションで、[namenode] を見つけ、[アクション] 列の [再起動] をクリックします。
表示されるダイアログボックスで、[実行理由] パラメーターを設定し、[OK] をクリックします。
[確認] メッセージで、[OK] をクリックします。
オプション:権限を設定します。
デフォルトでは、Ranger で HDFS を有効にすると、HDFS サービスが追加されます。
次の手順を実行して、ディレクトリ内のリソースに対する権限をユーザーに付与できます。たとえば、/user/foo ディレクトリ内のリソースに対する書き込み権限と実行権限を test ユーザーに付与できます。
Ranger の Web UI にアクセスします。詳細については、「Ranger の Web UI へのアクセス」をご参照ください。
[emr-hdfs] をクリックします。
右上隅にある [新しいポリシーの追加] をクリックします。
ビジネス要件に基づいてパラメーターを設定します。次の表にパラメーターを示します。
パラメーター
説明
ポリシー名
ポリシーの名前。カスタム名を指定できます。
リソースパス
リソースのパス。例:/user/foo。
recursive
権限をサブディレクトリまたはファイルに適用するかどうかを指定します。
グループの選択
ポリシーをアタッチするユーザーグループ。
ユーザーの選択
ポリシーをアタッチするユーザー。例:test。
権限
付与する権限。例:書き込み権限と実行権限。
[追加] をクリックします。
ポリシーを test ユーザーにアタッチすると、test ユーザーに権限が付与されます。 test ユーザーには、HDFS パス /user/foo に対する書き込み権限と実行権限が付与されます。
説明ポリシーを追加、削除、または変更した後、設定が有効になるまで約 1 分かかります。