操作步骤

1. 使用Ranger管理员用户rangeradmin登录Ranger管理页面，具体操作可参考登录Ranger WebUI界面。
2. 在首页中单击“PRESTO”区域的“HetuEngine”。
3. 在“Access”页签单击“Add New Policy”，添加HetuEngine权限控制策略。
4. 根据业务需求配置相关参数。

   “授予访问表所在的Catalog策略”为基础策略，配置其他策略前必须先确保配置了此策略，可参考表2进行配置。

   表1 HetuEngine权限参数

   参数名称	描述
   Policy Name	策略名称，可自定义，不能与本服务内其他策略名称重复。 Enabled：启用当前策略。 Disabled：不启用当前策略。
   Policy Conditions	IP过滤策略，可自定义，配置当前策略适用的主机节点，可填写一个或多个IP或IP段，并且IP填写支持“*”通配符，例如：192.168.1.10,192.168.1.20或者192.168.1.*。
   Policy Label	为当前策略指定一个标签，您可以根据这些标签搜索报告和筛选策略。
   Presto Catalog	适用该策略的数据源Catalog名称，填写*时表示所有Catalog。 Include：策略适用于当前输入的对象。 Exclude：策略适用于除去当前输入内容之外的其他对象。
   Schema	适用该策略的schema名称，填写*时表示所有schema。 Include：策略适用于当前输入的对象。 Exclude：策略适用于除去当前输入内容之外的其他对象。
   table	适用该策略的table/view名称，填写*时表示所有table。 Include：策略适用于当前输入的对象。 Exclude：策略适用于除去当前输入内容之外的其他对象。
   Column	适用该策略的列名，填写*时表示所有列。
   Description	策略描述信息。
   Audit Logging	是否审计此策略。
   Allow Conditions	策略允许条件，配置本策略内允许的权限及例外。 在“Select Role”、“Select Group”、“Select User”列选择已创建好的需要授予权限的Role、用户组或用户。单击“Add Conditions”，添加策略适用的IP地址范围，单击“Add Permissions”，添加对应权限。 Select：查询权限 Insert：插入权限 Create：创建权限 Drop：drop权限 Delete：删除权限 Use：use权限 Alter：alter权限 Update: update权限 Admin：admin权限 All：所有执行权限（涵盖Admin权限） Select/Deselect All：全选/取消全选 如需添加多条权限控制规则，可单击按钮添加。 如需当前条件中的用户或用户组管理本条策略，可勾选“Delegate Admin”，这些用户将成为受委托的管理员。被委托的管理员可以更新、删除本策略，它还可以基于原始策略创建子策略。
   Deny Conditions	策略拒绝条件，配置本策略内拒绝的权限及例外，配置方法与“Allow Conditions”相同。

   表2 设置权限

   任务场景	角色授权操作
   授予访问表所在的Catalog策略	在“Policy Name”填写策略名称。 在“Presto Catalog”填写要授权的资源所在的catalog，如“hive”。 在“Select User”中填授权的Hetu用户。 在“Permissions”中勾选“Select”。 说明： 此策略为基础策略，在配置其他策略前必须先确保配置了此策略。
   授予访问远端HetuEngine表的权限	在“Policy Name”填写策略名称。 在“Presto Catalog”填写要授权的表所在的catalog，“systemremote”和“svc”。 在“Presto Catalog”下方的下拉框中选中“schema”，同时在其对应的输入框中输入“*”。 在“schema”下方的下拉框中选中“table”，同时在其对应的输入框中输入“*”。 在“table”下方的下拉框中选中“column”，同时在其对应的输入框中输入“*”。 在“Select User”中填授权的远端HetuEngine用户。 在“Permissions”中勾选“Create、Drop、Select、Insert”。 说明： 此策略为远端HetuEngine表的基础策略，在配置其他策略前必须先确保配置了此策略。
   Create schema	在“Policy Name”填写策略名称。 在“Presto Catalog”填写要授权的table所在的catalog，如“hive”。 在“Presto Catalog”下方的下拉框中选中“schema”，同时在其对应的输入框中输入要授权的schema名称。如果填“*”，表示对所有当前catalog下的所有schema进行授权。 在“Select User”中填授权的Hetu用户。 在“Permissions”中勾选“Create”。
   Drop schema	在“Policy Name”填写策略名称。 在“Presto Catalog”填写要授权的table所在的catalog，如“hive”。 在“Presto Catalog”下方的下拉框中选中“schema”，同时在其对应的输入框中输入要授权的schema名称。如使用“*”，表示对所有当前catalog下的所有schema进行授权。 在“Select User”中填授权的Hetu用户。 在“Permissions”中勾选“Drop”。
   Create table	在“Policy Name”填写策略名称。 在“Presto Catalog”填写要授权的table所在的catalog，如“hive”。 在“Presto Catalog”下方的下拉框中选中“schema”，同时在其对应的输入框中输入要授权table所在的schema，如“default”。 在“schema”下方的下拉框中选中“table”，同时在其对应的输入框中输入要授权的目标table。如使用“*”，表示对所有当前schema下的所有table进行授权。 在“Select User”中填授权的Hetu用户。 在“Permissions”中勾选“Create”。
   Drop table	在“Policy Name”填写策略名称。 在“Presto Catalog”填写要授权的table所在的catalog，如“hive”。 在“Presto Catalog”下方的下拉框中选中“schema”，同时在其对应的输入框中输入要授权table所在的schema，如“default”。 在“schema”下方的下拉框中选中“table”，同时在其对应的输入框中输入要授权的目标table。如使用“*”，表示对所有当前schema下的所有table进行授权。 在“Select User”中填授权的Hetu用户。 在“Permissions”中勾选“Drop”。
   Alter table	在“Policy Name”填写策略名称。 在“Presto Catalog”填写要授权的table所在的catalog，如“hive”。 在“Presto Catalog”下方的下拉框中选中“schema”，同时在其对应的输入框中输入要授权table所在的schema，如“default”。 在“schema”下方的下拉框中选中“table”，同时在其对应的输入框中输入要授权的目标table。如使用“*”，表示对所有当前schema下的所有table进行授权。 在“Select User”中填授权的Hetu用户。 在“Permissions”中勾选“Alter”。 说明： ALTER TABLE table_name DROP [IF EXISTS] PARTITION partition_spec[, PARTITION partition_spec, ...]; 的操作需要额外授予Table级别的“delete”和Column级别的“select”权限。
   Show tables	在“Policy Name”填写策略名称。 在“Presto Catalog”填写要授权的表所在的catalog，如“hive”。 在“Presto Catalog”下方的下拉框中选中“schema”，同时在其对应的输入框中输入允许show table的目标schema，如“default”。 在“Select User”中填授权的Hetu用户。 在“Permissions”中勾选“Select”。
   Insert表	在“Policy Name”填写策略名称。 在“Presto Catalog”填写要授权的table所在的catalog，如“hive”。 在“Presto Catalog”下方的下拉框中选中“schema”，同时在其对应的输入框中输入要授权table所在的schema，如“default”。 在“schema”下方的下拉框中选中“table”，同时在其对应的输入框中输入要授权的目标table。如使用“*”，表示对所有当前schema下的所有table进行授权。 在“Select User”中填授权的Hetu用户。 在“Permissions”中勾选“Insert”。
   Delete	在“Policy Name”填写策略名称。 在“Presto Catalog”填写要授权的table所在的catalog，如“hive”。 在“Presto Catalog”下方的下拉框中选中“schema”，同时在其对应的输入框中输入要授权table所在的schema，如“default”。 在“schema”下方的下拉框中选中“table”，同时在其对应的输入框中输入要授权的目标table。如使用“*”，表示对所有当前schema下的所有table进行授权。 在“Select User”中填授权的Hetu用户。 在“Permissions”中勾选“Delete”。
   Select	在“Policy Name”填写策略名称。 在“Presto Catalog”填写要授权的table所在的catalog，如“hive”。 在“Presto Catalog”下方的下拉框中选中“schema”，同时在其对应的输入框中输入要授权table所在的schema，如“default”。 在“schema”下方的下拉框中选中“table”，同时在其对应的输入框中输入要授权的目标table。如使用“*”，表示对所有当前schema下的所有table进行授权。 在“table”下方的下拉框中选中“column”，同时在其对应的输入框中输入要授权的目标column。如使用“*”，表示对所有当前table下的所有column进行授权 在“Select User”中填授权的Hetu用户。 在“Permissions”中勾选“Select”。
   show columns	在“Policy Name”填写策略名称。 在“Presto Catalog”填写要授权的table所在的catalog，如“hive”。 在“Presto Catalog”下方的下拉框中选中“schema”，同时在其对应的输入框中输入要授权table所在的schema，如“default”。 在“schema”下方的下拉框中选中“table”，同时在其对应的输入框中输入要授权的目标table。如使用“*”，表示对所有当前schema下的所有table进行授权。 在“table”下方的下拉框中选中“column”，同时在其对应的输入框中输入要授权的目标column。如使用“*”，表示对所有当前table下的所有column进行授权。 在“Select User”中填授权的Hetu用户。 在“Permissions”中勾选“Select”。
   set session	在“Policy Name”填写策略名称。 在“Presto Catalog”填写“*”。 在“Select User”中填授权的Hetu用户。 在“Delegate Admin”中进行勾选。

   

   • 配置权限后预计30秒左右生效。
   • 目前的权限管控可以到达列的级别。

5. （可选）添加策略有效期。在页面右上角单击“Add Validity period”，设置“Start Time”和“End Time”，选择“Time Zone”。单击“Save”保存。如需添加多条策略有效期，可单击按钮添加。如需删除策略有效期，可单击按钮删除。
6. 单击“Add”，在策略列表可查看策略的基本信息。等待策略生效后，验证相关权限是否正常。

   如需禁用某条策略，可单击按钮编辑策略，设置策略开关为“Disabled”。

   如果不再使用策略，可单击按钮删除策略。