MAPREDUCE服务 MRS-Guardian服务对接OBS场景说明:基于Guardian服务的OBS权限配置说明
基于Guardian服务的OBS权限配置说明
基于Guardian服务的存算分离场景下,对于开启了Ranger鉴权的 MRS 集群,Ranger管理员可以通过Ranger为集群用户配置OBS目录或文件的读、写权限。
同时,基于Guardian权限模型存算分离,依赖Hive级联授权功能,实现用户基于Ranger对业务表授权,自动细粒度关联OBS对应存储目录的权限,无需二次授权,即用户只需在Ranger页面上对业务表进行一次授权,系统就会自动细粒度关联数据存储源的权限,不需要感知表的存储路径,无需进行二次授权。
- Ranger页面OBS授权对象只能针对Manager中自定义的用户组,内置用户组不支持,用户组仅由数字0~9、字母a~Z、下划线或#组成,且最大长度为52个字符,否则将导致策略添加失败。
- 启用Kerberos认证的集群需要基于Ranger赋权,未启用Kerberos认证的集群默认拥有OBS权限,无需额外配置。
- 如果当前集群未启用Kerberos认证,访问OBS的用户,需要属于supergroup组。