准备工作

请确保您已准备好以下信息：

• IBMwatsonx.data实例。
• Apache Ranger 已配置。
• Presto ( Java ) JDBC URL 和 watsonx.data 中的凭据。
• 管理员必须手动添加用户和组。
• 从 watsonx.data 版本 2.1 开始，您只能与以下政策引擎之一集成。
  • Apache Ranger
  • IBM Knowledge Catalog

为 Presto 和Spark在Ranger中创建政策

IBM watsonx.data 在Ranger中使用以下服务类型下定义的策略，以实现目录（Iceberg、Hive 和Hudi）、存储桶、架构和表格的数据安全。

• Presto：在此 Ranger 服务类型中创建资源策略，以加强 中 引擎使用的目录（Iceberg、和 Hudi）、存储桶、架构和表的安全性。watsonx.data Presto Hive
• 和 Hadoop SQL：在此 Ranger 服务类型中创建资源策略，以增强 watsonx.data 中 Spark 引擎使用的目录（Iceberg、Hive 和 Hudi）、存储桶、架构和表的安全性。

完成以下步骤在 Ranger 中创建服务。

1. 登录到ApacheRanger 使用用户名和密码。

2. 服务经理页面列出了所有资源及其可用服务。 如需了解不同资源的更多信息，请参阅 服务经理。

3. 点击 “资源”选项卡，根据您的使用情况选择以下资源之一。

   • PRESTO：在 watsonx.data 中为 Presto 引擎创建策略。
   • Hadoop SQL：在 中为Spark引擎创建策略。watsonx.data

4. 点击所需服务类型旁的 “添加新服务（+）” 图标，创建新服务以定义策略。 如需了解不同资源的更多信息，请参阅 服务经理。

   您也可以选择现有服务来定义策略。 要为 Presto 定义Ranger策略，您必须在PRESTO部分创建一个服务；要为Spark定义Ranger策略，您必须在 Hadoop SQL部分创建一个服务。

5. 针对新的（或现有的）服务制定政策。 要了解如何操作，请参阅“政策管理器”。

服务已成功添加到相应的资源列表中。 单击服务名称以验证是否添加了默认策略。

将 Presto 和Spark的Ranger政策关联起来 watsonx.data

完成以下步骤以启用和配置Apache游侠watsonx.data。

1. 登录 watsonx.data 控制台。

2. 从导航菜单中选择“访问控制”。

3. 点击集成标签。

4. 点击整合服务。 “整合服务”窗口打开。

5. 在里面整合服务窗口中，提供以下详细信息：

   整合服务

   字段	描述
   服务	选择Apache游侠。
   URL	Apache Ranger的 URL。
   用户名	管理员凭据。
   密码	管理员凭据。
   列出资源	单击链接加载Apache游骑兵服务器。
   资源	选择Apache必须启用 Ranger 策略。
   策略缓存时间配置	刷新新定义的游侠政策所需的时间。
   启用数据策略watsonx.data	选中复选框以启用数据策略以及Apache护林员政策。

6. 点击“整合”。 Apache Ranger政策已整合并列入访问控制页面。

验证集成

请完成以下步骤，验证访问控制：

1. 登录到 watsonx.data 实例。
2. 在导航菜单中，点击查询工作区。
3. 执行一个简单的查询。 出现访问被拒绝错误，因为当前 Ranger 中没有为用户定义策略。

授予用户权限

完成以下步骤向用户授予权限：

1. 登录到 Apache游侠。

2. 授予测试用户所需的权限。

3. 向下滚动到底部，点击节省按钮。

4. 登录到watsonx.data实例并再次执行查询。 在 Ranger 中添加策略后，允许用户访问。

限制

• 在 Apache Iceberg 目录中，如果未为 Ranger 中与表相关的快照视图定义策略，则会发生错误。 您必须在 Apache Ranger 中手动定义策略，才能消除错误。
• watsonx.data 仅支持 Apache Ranger 集成 2.0.0 版本中的访问控制功能。