如授权模型章节中所描述的,Apache Atlas支持可插拔授权模型。 Apache Ranger提供了一个使用Apache Ranger策略进行授权的授权器实现。此外,Apache Ranger提供的授权程序会到中央审计仓库进行审计(Audit)。
要配置Apache Atlas以使用Apache Ranger授权程序,请按照以下说明操作:
在atlas-application.properties配置文件中包含以下属性:
atlas.authorizer.impl=ranger
如果您使用Apache Ambari部署Apache Atlas和Apache Ranger,请在Apache Ranger的配置页面中启用Atlas插件。
-
在Apache Atlas的libext目录中包含Apache Ranger插件库
- /libext/ranger-atlas-plugin-impl/
- /libext/ranger-atlas-plugin-shim-.jar
- /libext/ranger-plugin-classloader-.jar
-
在Apache Atlas的配置目录中包含Apache Ranger插件的配置文件 - 通常位于
/etc/atlas/conf目录下。有关配置文件内容的更多详细信息,请参阅Apache Ranger中的相应文档。 -
/ranger-atlas-audit.xml
-
/ranger-atlas-security.xml
-
/ranger-policymgr-ssl.xml
-
/ranger-security.xml
Apache Atlas的Apache Ranger授权策略模型支持3个资源层次结构,以控制对类型,实体和管理操作的访问。以下图像显示了Apache Ranger中每种策略的各种详细信息。
-
类型 遵循授权策略允许用户'admin'创建/更新/删除任何分类类型。
-
实体 遵循授权策略允许用户'admin'对名为“my_db”的Hive数据库的元数据实体执行所有操作。
-
管理员操作 遵循授权策略允许用户'admin'执行export/import管理操作。
Apache Ranger授权插件生成审核日志,其中包含插件授权的访问权限的详细信息。详细信息包括访问的对象(例如,ID为cost_savings.claim_savings@cl1的hive_table),执行的访问类型(例如,实体添加分类,实体删除分类),用户名,访问时间和IP来自访问请求的地址 - 如下图所示。
