作者:辉少
1
问题描述
Fayson今天在CDH5.16.1 的版本中,使用Hive授权的时候发现两个角色都只有database的create 权限,却能看到各自角色创建的表。如下:
代码语言:javascript复制create role createtest1;
create role createtest2;
grant CREATE on database test to role createtest1;
grant CREATE on database test to role createtest2;
GRANT ROLE createtest1 TO GROUP createtest1;
GRANT ROLE createtest1 TO GROUP createtest2;
执行查看角色权限语句,确认授权无误:
代码语言:javascript复制show grant role createtest1;
show grant role createtest2;
用户createtest1,创建表test1
代码语言:javascript复制use test;
show tables;
create table test1 (s1 string);
show tables;
用户createtest2,创建表test2
代码语言:javascript复制use test;
show tables;
create table test2 (s1 string);
show tables;
发现createtest2 可以看到createtest1 所建的表,而createtest1也可以看到createtest2所建的表。
2
问题分析和解决
在上面的描述中我们可以看到在CDH5.16.1中启用Sentry后,Hive 角色权限管理的粒度不够细,没有select 权限却可以看到非自己所创建的表,我们知道在C6中,Sentry是有对权限的更细粒度的管控,于是Fayson便在CDH6.1.0 中验证该问题是否存在。
首先还是一样创建角色授权,步骤跟上述一致,Fayson在这里直接只截取查看角色权限的图
代码语言:javascript复制create role createtest1;
create role createtest2;
grant CREATE on database test to role createtest1;
grant CREATE on database test to role createtest2;
GRANT ROLE createtest1 TO GROUP createtest1;
GRANT ROLE createtest1 TO GROUP createtest2;
然后切换到createtest1用户创建表test1
代码语言:javascript复制use test;
create table test1 (s1 string);
show tables;
这里发现自己创建的表自己也看不到了,这是因为权限粒度的细分。需要切换到hive 用户授予select 权限,授予select 权限后查看:
代码语言:javascript复制grant SELECT on database test to role createtest1;
再切换到createtest2用户创建表test2
代码语言:javascript复制use test;
create table test2 (s1 string);
show tables;
发现也是一样的情况,自己创建的表也是看不到。这次为了区分权限,Fayson只将test.test2 表的查看权限赋予createtest2 角色,切换到hive 用户后执行如下命令
代码语言:javascript复制grant SELECT on database test.test2 to role createtest2;
再切换回createtest2用户后执行查看:
发现createtest2 用户只能看到授权的test2表,而createtest1 授权的是库级别的select 权限是可以查看到test 库中所有的表的
3
总结
Sentry的细粒度create权限是5.16的新特性,具体参考Fayson之前的文章《0466-CDH5.16.1和CM5.16.1的新功能》,从CDH5.16.1开始,Sentry和Hive引入了细粒度权限,为角色提供对象级权限。细粒度权限添加CREATE权限,允许用户创建数据库和表。以前的Sentry,如果你想要让某个用户能够创建数据库和表即CREATE权限,你必须得给他赋ALL权限,这样其实是不太合理的,比如某个用户你只想让他能够创建表,但是因为有了ALL权限,某个Database下的所有表他都有权限,包括他还能drop掉整个Database或者所有table。
虽然在CDH5.16.1已经添加了Sentry的细粒度create权限,但通过上述的验证发现这个create 权限仍存在问题,通过在CDH 6.1中验证发现已经修复了该问题,目前在CDH 6.1.x 中create权限正常使用。