IBM Cloud Docs
启用Apache资源护林员政策

启用Apache资源护林员政策

IBMwatsonx.data现在支持ApacheRanger 策略允许在与多种治理工具和引擎集成时提供全面的数据安全。

准备工作

请确保您已准备好以下信息:

  • IBMwatsonx.data实例。
  • Apache Ranger 已配置。
  • Presto ( Java ) JDBC URL 和 watsonx.data 中的凭据。
  • 管理员必须手动添加用户和组。
  • 从 watsonx.data 版本 2.1 开始,您只能与以下政策引擎之一集成。
    • Apache Ranger
    • IBM Knowledge Catalog

为 Presto 和Spark在Ranger中创建政策

IBM watsonx.data 在Ranger中使用以下服务类型下定义的策略,以实现目录(Iceberg、Hive 和Hudi)、存储桶、架构和表格的数据安全。

  • Presto:在此 Ranger 服务类型中创建资源策略,以加强 中 引擎使用的目录(Iceberg、和 Hudi)、存储桶、架构和表的安全性。watsonx.data Presto Hive
  • 和 Hadoop SQL:在此 Ranger 服务类型中创建资源策略,以增强 watsonx.data 中 Spark 引擎使用的目录(Iceberg、Hive 和 Hudi)、存储桶、架构和表的安全性。

完成以下步骤在 Ranger 中创建服务。

  1. 登录到ApacheRanger 使用用户名和密码。

  2. 服务经理页面列出了所有资源及其可用服务。 如需了解不同资源的更多信息,请参阅 服务经理

  3. 点击 “资源”选项卡,根据您的使用情况选择以下资源之一。

    • PRESTO:在 watsonx.data 中为 Presto 引擎创建策略。
    • Hadoop SQL:在 中为Spark引擎创建策略。watsonx.data
  4. 点击所需服务类型旁的 “添加新服务(+)” 图标,创建新服务以定义策略。 如需了解不同资源的更多信息,请参阅 服务经理

    您也可以选择现有服务来定义策略。 要为 Presto 定义Ranger策略,您必须在PRESTO部分创建一个服务;要为Spark定义Ranger策略,您必须在 Hadoop SQL部分创建一个服务。

  5. 针对新的(或现有的)服务制定政策。 要了解如何操作,请参阅“政策管理器”。

服务已成功添加到相应的资源列表中。 单击服务名称以验证是否添加了默认策略。

将 Presto 和Spark的Ranger政策关联起来 watsonx.data

完成以下步骤以启用和配置Apache游侠watsonx.data。

  1. 登录 watsonx.data 控制台。

  2. 从导航菜单中选择“访问控制”。

  3. 点击集成标签。

  4. 点击整合服务。 “整合服务”窗口打开。

  5. 在里面整合服务窗口中,提供以下详细信息:

    整合服务
    字段 描述
    服务 选择Apache游侠。
    URL Apache Ranger的 URL。
    用户名 管理员凭据。
    密码 管理员凭据。
    列出资源 单击链接加载Apache游骑兵服务器。
    资源 选择Apache必须启用 Ranger 策略。
    策略缓存时间配置 刷新新定义的游侠政策所需的时间。
    启用数据策略watsonx.data 选中复选框以启用数据策略以及Apache护林员政策。
  6. 点击“整合”。 Apache Ranger政策已整合并列入访问控制页面

验证集成

请完成以下步骤,验证访问控制:

  1. 登录到 watsonx.data 实例。
  2. 在导航菜单中,点击查询工作区
  3. 执行一个简单的查询。 出现访问被拒绝错误,因为当前 Ranger 中没有为用户定义策略。

授予用户权限

完成以下步骤向用户授予权限:

  1. 登录到 Apache游侠

  2. 授予测试用户所需的权限。

  3. 向下滚动到底部,点击节省按钮。

  4. 登录到watsonx.data实例并再次执行查询。 在 Ranger 中添加策略后,允许用户访问。

限制

  • 在 Apache Iceberg 目录中,如果未为 Ranger 中与表相关的快照视图定义策略,则会发生错误。 您必须在 Apache Ranger 中手动定义策略,才能消除错误。
  • watsonx.data 仅支持 Apache Ranger 集成 2.0.0 版本中的访问控制功能。