HBase在不开启授权的情况下,任何账号对HBase集群可以进行任何操作,例如disable table/drop table/major compact等。
对于没有Kerberos认证的集群,即使开启了HBase授权,用户也可以伪造身份访问集群服务。所以建议创建高安全模式(即支持 Kerberos)的集群,详见Kerberos 简介。
添加配置
在 HBase 集群的集群与服务管理页面选择 。
添加如下几个参数。
<property>
<name>hbase.security.authorization</name>
<value>true</value>
</property>
<property>
<name>hbase.coprocessor.master.classes</name>
<value>org.apache.hadoop.hbase.security.access.AccessController</value>
</property>
<property>
<name>hbase.coprocessor.region.classes</name>
<value>org.apache.hadoop.hbase.security.token.TokenProvider,org.apache.hadoop.hbase.security.access.AccessController</value>
</property>
<property>
<name>hbase.coprocessor.regionserver.classes</name>
<value>org.apache.hadoop.hbase.security.access.AccessController,org.apache.hadoop.hbase.security.token.TokenProvider</value>
</property>重启HBase集群
在HBase集群的集群与服务管理页面选择。
授权(ACL)
- 基本概念
授权就是将对 [某个范围的资源] 的 [操作权限] 授予[某个实体]。
在 HBase 中,上述对应的三个概念分别为:
- 某个范围(Scope)的资源
- Superuser
超级账号可以进行任何操作,运行 HBase 服务的账号默认是 Superuser。也可以通过在 hbase-site.xml 中配置 hbase.superuser 的值可以添加超级账号。
- Global
Global Scope拥有集群所有table的Admin权限。
- Namespace
在Namespace Scope 进行相关权限控制。
- Table
在Table Scope进行相关权限控
- ColumnFamily
在ColumnFamily Scope进行相关权限控制。
- Cell
在Cell Scope 进行相关权限控制。
- Superuser
- 操作权限
- Read(R)
读取某个Scope资源的数据。
- Write (W)
写数据到某个Scope 的资源。
- Execute (X)
在某个Scope执行协处理器。
- Create (C)
在某个Scope创建/删除表等操作。
- Admin(A)
在某个Scope进行集群相关操作,如balance/assign等。
- Read(R)
- 某个实体
- User
对某个用户授权。
- Group
对某个用户组授权。
- User
- 某个范围(Scope)的资源
- 授权命令
- grant授权
grant <user> <permissions> [<@namespace> [<table> [<column family> [<column qualifier>]]]- user/group的授权方式一样,group需要加一个前缀@
grant 'test','R','tbl1' #给用户test授予表tbl1的读权限 grant '@testgrp','R','tbl1' #给用户组testgrp授予表tbl1的读权限 - namespace需要加一个前缀@
grant 'test 'C','@ns_1' #给用户test授予namespace ns_1的CREATE权限
- user/group的授权方式一样,group需要加一个前缀@
- revoke回收
- user_permissions查看权限
- grant授权