Partilhar via

Configurar as políticas do Apache Hive no HDInsight com o Pacote de Segurança Enterprise

Neste artigo, você aprenderá a configurar políticas do Apache Ranger para o Apache Hive. Você cria duas políticas Ranger para restringir o acesso ao hivesampletable. O hivesampletable vem com os clusters HDInsight. Depois de configurar as políticas, use o Excel e o driver ODBC (Open Database Connectivity) para se conectar a tabelas do Hive no HDInsight.

Pré-requisitos

  • Um cluster HDInsight com o pacote de segurança empresarial (ESP). Para obter mais informações, consulte Configurar clusters HDInsight com ESP.
  • Uma estação de trabalho com aplicativos Microsoft 365 para empresas, Office 2016, Office 2013 Professional Plus, Excel 2013 Autônomo ou Office 2010 Professional Plus.

Conectar-se à interface do usuário de administração do Apache Ranger

Para se conectar à interface do usuário (UI) do Ranger Admin:

  1. Num navegador, aceda à interface de administração do Ranger em https://CLUSTERNAME.azurehdinsight.net/Ranger/, onde CLUSTERNAME corresponde ao nome do seu cluster.

    Observação

    A Ranger usa credenciais diferentes do cluster Apache Hadoop. Para impedir que os navegadores usem credenciais Hadoop armazenadas em cache, use uma nova janela do navegador InPrivate para se conectar à interface do usuário do Ranger Admin.

  2. Entre usando o nome de usuário e a senha do domínio do administrador do cluster:

    Captura de ecrã que mostra a página inicial do HDInsight ESP Ranger.

    Atualmente, a Ranger só trabalha com Yarn e Hive.

Criar utilizadores de domínio

Para obter informações sobre como criar hiveruser1 e hiveuser2, consulte Criar um cluster HDInsight com ESP. Você usa as duas contas de usuário neste artigo.

Criar políticas do Ranger

Nesta seção, você cria duas políticas do Ranger para acessar o hivesampletable. Você dá permissão de seleção em diferentes conjuntos de colunas. Ambos os usuários foram criados usando Criar um cluster HDInsight com ESP. Na próxima seção, você testa as duas políticas no Excel.

Para criar as políticas do Ranger

  1. Abra a interface do usuário de administração da Ranger. Consulte a seção anterior, Conectar à interface do usuário de administração do Apache Ranger.

  2. Em Hive, selecione CLUSTERNAME_Hive. Você verá duas políticas pré-configuradas.

  3. Selecione Adicionar nova política e insira os seguintes valores:

    Propriedade Valor
    Nome da política read-hivesampletable-all
    Banco de dados do Hive Inadimplência
    mesa TabelaExemploHive
    Coluna Hive *
    Selecionar Utilizador Hiveuser1
    Permissões selecione

    Captura de tela que mostra as políticas do HDInsight ESP Ranger Hive a serem configuradas. .

    Observação

    Se um utilizador de domínio não estiver preenchido em Selecionar Utilizador, aguarde alguns momentos para que o Ranger sincronize com o Microsoft Entra ID.

  4. Selecione Adicionar para salvar a política.

  5. Repita as duas últimas etapas para criar outra política com as seguintes propriedades:

    Propriedade Valor
    Nome da política ler-tabeladeamostrasdecolmeia-fabricantedeaparelho
    Banco de dados do Hive Inadimplência
    mesa HiveSampleTable
    Coluna Colmeia clientid, devicemake
    Selecionar Utilizador Hiveuser2
    Permissões selecione

Criar uma fonte de dados ODBC do Hive

Para obter instruções sobre como criar uma fonte de dados ODBC do Hive, consulte Criar uma fonte de dados ODBC do Hive.

Propriedade Descrição
Nome da fonte de dados Dê um nome à sua fonte de dados.
Anfitrião Digite CLUSTERNAME.azurehdinsight.net. Por exemplo, use myHDICluster.azurehdinsight.net.
Porto Utilize 443. (Esta porta mudou de 563 para 443.)
Base de dados Utilize Default.
Tipo de servidor Hive Selecione Hive Server 2.
Mecanismo Selecione Serviço Azure HDInsight.
Caminho HTTP Deixe em branco.
Nome de Utilizador Introduza hiveuser1@contoso158.onmicrosoft.com. Atualize o nome de domínio se for diferente.
Palavra-passe Introduza a palavra-passe para hiveuser1.

Selecione Testar antes de salvar a fonte de dados.

Importe dados para o Excel a partir do HDInsight

Na última seção, você configurou duas políticas: hiveuser1 tem a permissão selecionar em todas as colunas e hiveuser2 tem a permissão selecionar em duas colunas. Nesta seção, você representa os dois usuários para importar dados para o Excel.

  1. Abra um livro novo ou existente no Excel.

  2. Na guia Dados , vá para Obter dados>de outras fontes>do ODBC para abrir a janela Do ODBC .

    Captura de ecrã que mostra o assistente de abertura de ligação de dados.

  3. Na lista suspensa, selecione o nome da fonte de dados que criou na última seção e, em seguida, selecione OK.

  4. Para o primeiro uso, uma caixa de diálogo do driver ODBC é aberta. Selecione Windows no menu à esquerda. Em seguida, selecione Conectar para abrir a janela Navegador .

  5. Aguarde até que a Select Database and Table caixa de diálogo seja aberta. Este passo pode demorar alguns segundos.

  6. Selecione hivesampletable>Next.

  7. Selecione Concluir.

  8. Na caixa de diálogo Importar dados , você pode alterar ou especificar a consulta. Para fazer isso, selecione Propriedades. Este passo pode demorar alguns segundos.

  9. Selecione a guia Definição . O texto do comando é:

    SELECT * FROM "HIVE"."default"."hivesampletable"`

    Pelas políticas de Ranger que você definiu, hiveuser1 tem permissão de seleção em todas as colunas. Esta consulta funciona com as credenciais do hiveuser1, mas não funciona com as credenciais hiveuser2do .

  10. Selecione OK para fechar a caixa de diálogo Propriedades da conexão .

  11. Selecione OK para fechar a caixa de diálogo Importar dados .

  12. Reintroduza a palavra-passe para hiveuser1 e, em seguida, selecione OK. Demora alguns segundos até que os dados sejam importados para o Excel. Quando terminar, você verá 11 colunas de dados.

Para testar a segunda política (read-hivesampletable-devicemake) que você criou na última seção:

  1. Adicione uma nova folha no Excel.

  2. Siga o último procedimento para importar os dados. A única alteração feita é usar as credenciais para hiveuser2 em vez de hiveuser1. Esta ação falha porque hiveuser2 tem permissão para ver apenas duas colunas. Você vê o seguinte erro:

    [Microsoft][HiveODBC] (35) Error from Hive: error code: '40000' error message: 'Error while compiling statement: FAILED: HiveAccessControlException Permission denied: user [hiveuser2] does not have [SELECT] privilege on [default/hivesampletable/clientid,country ...]'.

  3. Siga o mesmo procedimento para importar dados. Desta vez, use as credenciais para hiveuser2 e modifique também a declaração select de:

    SELECT * FROM "HIVE"."default"."hivesampletable"

    Para:

    SELECT clientid, devicemake FROM "HIVE"."default"."hivesampletable"

    Quando terminar, você verá duas colunas de dados importados.

Próximos passos