ranger管mysql_添加Kafka的Ranger访问权限策略
設置Kafka管理員權限
在首頁中單擊“Kafka”區(qū)域的組件插件名稱,例如“Kafka”。
選擇“Policy Name”為“all - topic”的策略,單擊按鈕編輯策略。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Select/Deselect All”。
設置用戶對Topic的創(chuàng)建權限
在“Topic”配置Topic名。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Create”。
說明:
目前Kafka內核支持"--zookeeper"和"--bootstrap-server"兩種方式創(chuàng)建Topic,社區(qū)將會在后續(xù)的版本中刪掉對"--zookeeper"的支持,所以建議用戶使用"--bootstrap-server"的方式創(chuàng)建Topic。
注意:目前Kafka只支持"--bootstrap-server"方式創(chuàng)建Topic行為的鑒權,不支持對"--zookeeper"方式的鑒權
設置用戶對Topic的刪除權限
在“Topic”配置Topic名。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Delete”。
說明:
目前Kafka內核支持"--zookeeper"和"--bootstrap-server"兩種方式刪除Topic,社區(qū)將會在后續(xù)的版本中刪掉對"--zookeeper"的支持,所以建議用戶使用"--bootstrap-server"的方式刪除Topic。
注意:目前Kafka只支持對"--bootstrap-server"方式刪除Topic行為的鑒權,不支持對"--zookeeper"方式的鑒權
設置用戶對Topic的查詢權限
在“Topic”配置Topic名。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Describe”和“Describe Configs”。
說明:
目前Kafka內核支持"--zookeeper"和"--bootstrap-server"兩種方式查詢Topic,社區(qū)將會在后續(xù)的版本中刪掉對"--zookeeper"的支持,所以建議用戶使用"--bootstrap-server"的方式查詢Topic。
注意:目前Kafka只支持對"--bootstrap-server"方式查詢Topic行為的鑒權,不支持對"--zookeeper"方式的鑒權
設置用戶對Topic的生產(chǎn)權限
在“Topic”配置Topic名。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Publish”。
設置用戶對Topic的消費權限
在“Topic”配置Topic名。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Consume”。
說明:
因為消費Topic時,涉及到Offset的管理操作,必須同時開啟ConsumerGroup的“Consume”權限,詳見“設置用戶對ConsumerGroup Offsets 的提交權限”
設置用戶對Topic的擴容權限(增加分區(qū))
在“Topic”配置Topic名。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Alter”。
設置用戶對Topic的配置修改權限
當前Kafka內核暫不支持基于“--bootstrap-server”的Topic參數(shù)修改行為,故當前Ranger不支持對此行為的鑒權操作。
設置用戶對Cluster的所有管理權限
在“cluster”右側輸入并選擇集群名。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Kafka Admin”。
設置用戶對Cluster的創(chuàng)建權限
在首頁中單擊“Kafka”區(qū)域的組件插件名稱,例如“Kafka”。
選擇“Policy Name”為“all - cluster”的策略,單擊按鈕編輯策略。
在“cluster”右側輸入并選擇集群名。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Create”。
說明:
對于Cluster的Create操作鑒權主要涉及以下兩個場景:
集群開啟了“auto.create.topics.enable”參數(shù)后,客戶端向服務的還未創(chuàng)建的Topic發(fā)送數(shù)據(jù)的場景,此時會判斷用戶是否有集群的Create權限
對于用戶創(chuàng)建大量Topic的場景,如果授予用戶Cluster Create權限,那么該用戶可以在集群內部創(chuàng)建任意Topic
設置用戶對Cluster的配置修改權限
在“cluster”右側輸入并選擇集群名。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Alter Configs”。
說明:
此處的配置修改權限,指的是Broker、Broker Logger的配置權限。
當授予用戶配置修改權限后,即使不授予配置查詢權限也可查詢配置詳情(配置修改權限高于且包含配置查詢權限)。
設置用戶對Cluster的配置查詢權限
在“cluster”右側輸入并選擇集群名。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Describe”和 “Describe Configs”。
說明:
此處查詢指的是查詢集群內的Broker、Broker Logger信息。該查詢不涉及Topic。
設置用戶對Cluster的Idempotent Write權限
在“cluster”右側輸入并選擇集群名。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Idempotent Write”。
說明:
此權限會對用戶客戶端的Idempotent Produce行為進行鑒權。
設置用戶對Cluster的分區(qū)遷移權限管理
在“cluster”右側輸入并選擇集群名。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Alter”。
說明:
Cluster的Alter權限可以對以下三種場景進行權限控制:
Partition Reassign場景下,遷移副本的存儲目錄。
集群里各分區(qū)內部leader選舉。
Acl管理(添加或刪除)。
其中1和2都是集群內部Controller與Broker間、Broker與Broker間的操作,創(chuàng)建集群時,默認授予內置kafka用戶此權限,普通用戶授予此權限沒有意義。
3涉及Acl的管理,Acl設計的就是用于鑒權,由于目前kafka鑒權已全部托管給Ranger,所以這個場景也基本不涉及(配置后亦不生效)。
設置用戶對Cluster的Cluster Action權限
在“cluster”右側輸入并選擇集群名。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Cluster Action”。
說明:
此權限主要對集群內部副本主從同步、節(jié)點間通信進行控制,在集群創(chuàng)建時已經(jīng)授權給內置kakfa用戶,普通用戶授予此權限沒有意義。
設置用戶對TransactionalId的權限
在首頁中單擊“Kafka”區(qū)域的組件插件名稱,例如“Kafka”。
選擇“Policy Name”為“all - transactionalid”的策略,單擊按鈕編輯策略。
在“transactionalid”配置事務ID。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Publish”和 "Describe"。
說明:
“Publish”權限主要對用戶開啟了事務特性的客戶端請求進行鑒權,例如事務開啟、結束、提交offset、事務性數(shù)據(jù)生產(chǎn)等行為。
“Describe”權限主要對于開啟事務特性的客戶端與Coordinator的請求進行鑒權。
建議在開啟事務特性的場景下,給用戶同時授予“Publish”和“Describe”權限。
設置用戶對DelegationToken的權限
在首頁中單擊“Kafka”區(qū)域的組件插件名稱,例如“Kafka”。
選擇“Policy Name”為“all - delegationtoken”的策略,單擊按鈕編輯策略。
在“delegationtoken”配置delegationtoken。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“ Describe”。
說明:
當前Ranger對DelegationToken的鑒權控制僅限于對查詢的權限控制,不支持對DelegationToken的create、renew、expire操作的權限控制。
設置用戶對ConsumerGroup Offsets 的查詢權限
在首頁中單擊“Kafka”區(qū)域的組件插件名稱,例如“Kafka”。
選擇“Policy Name”為“all - consumergroup”的策略,單擊按鈕編輯策略。
在“consumergroup”配置需要管理的consumergroup。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Describe”。
設置用戶對ConsumerGroup Offsets 的提交權限
在首頁中單擊“Kafka”區(qū)域的組件插件名稱,例如“Kafka”。
選擇“Policy Name”為“all - consumergroup”的策略,單擊按鈕編輯策略。
在“consumergroup”配置需要管理的consumergroup。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Consume”。
說明:
當給用戶授予了ConsumerGroup的“Consume”權限后,用戶會同時被授予“Describe”權限。
設置用戶對ConsumerGroup Offsets 的刪除權限
在首頁中單擊“Kafka”區(qū)域的組件插件名稱,例如“Kafka”。
選擇“Policy Name”為“all - consumergroup”的策略,單擊按鈕編輯策略。
在“consumergroup”配置需要管理的consumergroup。
在“Allow Conditions”區(qū)域,單擊“Select User”下選擇框選擇用戶。
單擊“Add Permissions”,勾選“Delete”。
說明:
當給用戶授予了ConsumerGroup的“Delete”權限后,用戶會同時被授予“Describe”權限。
總結
以上是生活随笔為你收集整理的ranger管mysql_添加Kafka的Ranger访问权限策略的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python能做什么效果_python对
- 下一篇: matlab 实验数据 传递函数,《传递