启用Apache资源护林员政策
IBMwatsonx.data现在支持ApacheRanger 策略允许在与多种治理工具和引擎集成时提供全面的数据安全。
准备工作
请确保您已准备好以下信息:
- IBMwatsonx.data实例。
- Apache Ranger 已配置。
- Presto ( Java ) JDBC URL 和 watsonx.data 中的凭据。
- 管理员必须手动添加用户和组。
- 从 watsonx.data 版本 2.1 开始,您只能与以下政策引擎之一集成。
- Apache Ranger
- IBM Knowledge Catalog
为 Presto 和Spark在Ranger中创建政策
IBM watsonx.data 在Ranger中使用以下服务类型下定义的策略,以实现目录(Iceberg、Hive 和Hudi)、存储桶、架构和表格的数据安全。
- Presto:在此 Ranger 服务类型中创建资源策略,以加强 中 引擎使用的目录(Iceberg、和 Hudi)、存储桶、架构和表的安全性。watsonx.data Presto Hive
- 和 Hadoop SQL:在此 Ranger 服务类型中创建资源策略,以增强 watsonx.data 中 Spark 引擎使用的目录(Iceberg、Hive 和 Hudi)、存储桶、架构和表的安全性。
完成以下步骤在 Ranger 中创建服务。
-
登录到ApacheRanger 使用用户名和密码。
-
服务经理页面列出了所有资源及其可用服务。 如需了解不同资源的更多信息,请参阅 服务经理。
-
点击 “资源”选项卡,根据您的使用情况选择以下资源之一。
- PRESTO:在 watsonx.data 中为 Presto 引擎创建策略。
- Hadoop SQL:在 中为Spark引擎创建策略。watsonx.data
-
点击所需服务类型旁的 “添加新服务(+)” 图标,创建新服务以定义策略。 如需了解不同资源的更多信息,请参阅 服务经理。
您也可以选择现有服务来定义策略。 要为 Presto 定义Ranger策略,您必须在PRESTO部分创建一个服务;要为Spark定义Ranger策略,您必须在 Hadoop SQL部分创建一个服务。
-
针对新的(或现有的)服务制定政策。 要了解如何操作,请参阅“政策管理器”。
服务已成功添加到相应的资源列表中。 单击服务名称以验证是否添加了默认策略。
将 Presto 和Spark的Ranger政策关联起来 watsonx.data
完成以下步骤以启用和配置Apache游侠watsonx.data。
-
登录 watsonx.data 控制台。
-
从导航菜单中选择“访问控制”。
-
点击集成标签。
-
点击整合服务。 “整合服务”窗口打开。
-
在里面整合服务窗口中,提供以下详细信息:
整合服务 字段 描述 服务 选择Apache游侠。 URL Apache Ranger的 URL。 用户名 管理员凭据。 密码 管理员凭据。 列出资源 单击链接加载Apache游骑兵服务器。 资源 选择Apache必须启用 Ranger 策略。 策略缓存时间配置 刷新新定义的游侠政策所需的时间。 启用数据策略watsonx.data 选中复选框以启用数据策略以及Apache护林员政策。 -
点击“整合”。 Apache Ranger政策已整合并列入访问控制页面。
验证集成
请完成以下步骤,验证访问控制:
- 登录到 watsonx.data 实例。
- 在导航菜单中,点击查询工作区。
- 执行一个简单的查询。 出现访问被拒绝错误,因为当前 Ranger 中没有为用户定义策略。
授予用户权限
完成以下步骤向用户授予权限:
-
登录到 Apache游侠。
-
授予测试用户所需的权限。
-
向下滚动到底部,点击节省按钮。
-
登录到watsonx.data实例并再次执行查询。 在 Ranger 中添加策略后,允许用户访问。
限制
- 在 Apache Iceberg 目录中,如果未为 Ranger 中与表相关的快照视图定义策略,则会发生错误。 您必须在 Apache Ranger 中手动定义策略,才能消除错误。
- watsonx.data 仅支持 Apache Ranger 集成 2.0.0 版本中的访问控制功能。