深入分析apachesentry

小蓝 • 2024-11-12 00:56 • 编程

一、Apache Sentry

Apache Sentry 是一种轻量级的、适用于Hadoop的细粒度权限控制系统，它可以提供灵活的基于角色的访问控制，在集群中控制对数据的访问。

Apache Sentry 可以在管理界面中配置数据权限，创建角色并授权，由管理员进行账号维护。它支持对Hadoop系统中的多种数据存储方式，如Hive、HBase等。

使用 Apache Sentry 可以有效加强数据安全性，避免用户恶意篡改、泄露数据等情况的发生。

二、Apache Sentry Plugin日志

Apache Sentry Plugin 日志是 Apache Sentry 的一个插件，用于记录权限控制系统中用户访问的日志信息。

它通过简单配置参数可以与 Apache Sentry 现有系统整合，记录用户访问数据时的详细信息，如用户ID、操作IP、操作时间等。这些信息可以通过工具进行分析，找出不合规的操作并及时纠正。

Apache Sentry Plugin 日志可以大幅提升系统的用户安全审计效率，是一个非常有用的插件。

三、Apache Sentry和Ranger

Apache Sentry 和 Ranger 都是用于安全控制的Hadoop插件，它们的目标都是提供集中的管理系统，并且支持多个Hadoop组件。

但是Apache Sentry 和 Ranger 在设计理念上略有不同，Apache Sentry 更注重角色策略，提供了非常灵活的角色管理、授权和审计功能，而Ranger 更注重服务整体安全架构，同时最近对数据安全方面进行了多方面的优化升级。

根据实际需求，可以根据不同的场景和目标选择使用 Apache Sentry 或 Ranger 进行数据安全控制管理。

四、Apache Sentry停止维护

Apache Sentry曾经是Hadoop生态环境中扮演着非常重要角色的开源权限管理方案之一，但在2020年初，由于管理团队没有人继续维护这个项目，官方决定停止维护和更新。这也标志着 Apache Sentry 脱离了Hadoop的生态环境。

虽然 Apache Sentry 不再维护，但仍然有很多机构在使用它，因为它在安全性、易用性和稳定性方面的表现都非常出色。对于旧有的项目，继续沿用 Apache Sentry 也是一种合理的选择。

代码示例

public class SentryAuthorizationPlugin implements AuthorizationPlugin {
    private final static String LOGGER_NAME = SentryAuthorizationPlugin.class.getName();
    private final static Logger logger = LoggerFactory.getLogger(LOGGER_NAME);

    public SentryAuthorizationPlugin() {
    }

    @Override
    public synchronized void authorize(ConnectorSession session, SchemaTableName tableName) {
        String user = session.getUser();
        if (user.equals("admin")) {
            return;
        }

        String databaseName = tableName.getSchemaName();
        String tableNameStr = tableName.getTableName();

        try {
            //获取连接
            Boolean[] result = SentryClientLookup.getSentryClientForDatabase(databaseName)
                    .hasTablePrivileges(user, Collections.singletonList(tableNameStr),
                            Collections.singletonList(SentryPrincipalType.USER), Privilege.ALL.toString());
            for (Boolean bool : result) {
                if (!bool) {
                    String msg = "User " + user + " is not authorized to access " + tableNameStr;
                    //记录日志
                    logger.warn(msg);
                    throw new AccessDeniedException(msg);
                }
            }
        } catch (Exception e) {
            throw new PrestoException(GENERIC_INTERNAL_ERROR, e);
        }
    }

    @Override
    public void onRolesChanged() {
    }
}

原创文章，作者：小蓝，如若转载，请注明出处：https://www.506064.com/n/152284.html