安全管理功能与操作
平台提供集中的权限管理、管理审计和访问审计功能。
权限管理
平台中不同的用户拥有不同的资源权限,权限管理功能提供对用户组和用户的资源授权。平台管理员可分配全部资源,组织管理员只分配自己拥有的资源。
新建权限
点击"新增"按钮,跳转至新增权限页面,选择需要授权的租户空间及租户空间下用户,点击"保存"按钮,完成增加权限操作。保存完成后,可添加具体资源的权限。
点击需要添加的资源类型,选择需要授权给用户的目录或文件,选择对应的操作权限,点击"确定"按钮完成授权操作。
编辑权限
在权限列表页面,点击需要编辑的权限所在行的"编辑"按钮,可对该用户或用户组的权限进行编辑。
删除权限
在权限列表页面,点击需要删除的权限所在行的"删除"按钮,在弹出的确认对话框中选择"确定"按钮,即可完成删除操作。
管理审计
管理审计页面展现的是对用户、ranger服务、ranger策略等的操作信息,当创建或者删除一个用户、在【授权管理】中新增或者修改一条策略时,就会自动生成一条日志信息。
管理审计的路径为:【安全管理】→【管理审计】。
页面中各个列的含义:
| 名称 | 含义 | 备注 |
|---|---|---|
| 操作 | 对操作的简单描述 | 如"删除用户test"、"新增策略grant-path" |
| 审计类型 | 操作的对象 | 服务定义、服务、策略、用户等 |
| 时间 | 操作执行的时间 | |
| 动作 | 操作类型 | create、update、delete |
访问审计
访问审计页面展现的信息是用户对各个大数据组件资源的访问记录,如新增或者删除一个HDFS目录、创建或者修改一个Hive表等,都会在该页面自动增加一条日志记录。
访问日志模块的路径为:【安全管理】→【访问审计】。
页面中各个列的含义:
| 名称 | 含义 | 备注 |
|---|---|---|
| 用户 | 发起资源请求的用户 | 即用户的id |
| 资源类型 | 用户所请求的资源类型 | 如HDFS的path、KAFKA的topic |
| 资源名称 | 具体的资源 | 如HDFS的一个文件的全路径 |
| 服务类型 | 所请求的是哪个大数据组件的资源 | 如HBase、Yarn |
| 访问类型 | 对资源的操作 | 不同的组件访问类型不同,如HDFS的READ、WRITE,Kafka的consume、describe等 |
| 时间 | 请求发起的时间 | |
| 结果 | 请求结果 | 请求的结果由【资源授权管理】中的策略决定 |
| 客户端IP | 发起资源请求的用户所在的地址 | 集群中的各个节点都有可能 |