前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >0575-5.16.1-Hive中只有create权限却能查看到非自己创建表的异常

0575-5.16.1-Hive中只有create权限却能查看到非自己创建表的异常

作者头像
Fayson
发布2019-04-28 17:43:11
9190
发布2019-04-28 17:43:11
举报
文章被收录于专栏:Hadoop实操Hadoop实操

作者:辉少

1

问题描述

Fayson今天在CDH5.16.1 的版本中,使用Hive授权的时候发现两个角色都只有database的create 权限,却能看到各自角色创建的表。如下:

代码语言:javascript
复制
create role createtest1;
create role createtest2;
grant CREATE on database test to role createtest1;            
grant CREATE on database test to role createtest2;
GRANT ROLE createtest1 TO GROUP createtest1;
GRANT ROLE createtest1 TO GROUP createtest2;

执行查看角色权限语句,确认授权无误:

代码语言:javascript
复制
show grant role createtest1;
show grant role createtest2;

用户createtest1,创建表test1

代码语言:javascript
复制
use test;
show tables;
create table test1 (s1 string);
show tables;

用户createtest2,创建表test2

代码语言:javascript
复制
use test;
show tables;
create table test2 (s1 string);
show tables;

发现createtest2 可以看到createtest1 所建的表,而createtest1也可以看到createtest2所建的表。

2

问题分析和解决

在上面的描述中我们可以看到在CDH5.16.1中启用Sentry后,Hive 角色权限管理的粒度不够细,没有select 权限却可以看到非自己所创建的表,我们知道在C6中,Sentry是有对权限的更细粒度的管控,于是Fayson便在CDH6.1.0 中验证该问题是否存在。

首先还是一样创建角色授权,步骤跟上述一致,Fayson在这里直接只截取查看角色权限的图

代码语言:javascript
复制
create role createtest1;
create role createtest2;
grant CREATE on database test to role createtest1;            
grant CREATE on database test to role createtest2;
GRANT ROLE createtest1 TO GROUP createtest1;
GRANT ROLE createtest1 TO GROUP createtest2;

然后切换到createtest1用户创建表test1

代码语言:javascript
复制
use test;
create table test1 (s1 string);
show tables;

这里发现自己创建的表自己也看不到了,这是因为权限粒度的细分。需要切换到hive 用户授予select 权限,授予select 权限后查看:

代码语言:javascript
复制
grant SELECT on database test to role createtest1;

再切换到createtest2用户创建表test2

代码语言:javascript
复制
use test;
create table test2 (s1 string);
show tables;

发现也是一样的情况,自己创建的表也是看不到。这次为了区分权限,Fayson只将test.test2 表的查看权限赋予createtest2 角色,切换到hive 用户后执行如下命令

代码语言:javascript
复制
grant SELECT on database test.test2 to role createtest2;

再切换回createtest2用户后执行查看:

发现createtest2 用户只能看到授权的test2表,而createtest1 授权的是库级别的select 权限是可以查看到test 库中所有的表的

3

总结

Sentry的细粒度create权限是5.16的新特性,具体参考Fayson之前的文章《0466-CDH5.16.1和CM5.16.1的新功能》,从CDH5.16.1开始,Sentry和Hive引入了细粒度权限,为角色提供对象级权限。细粒度权限添加CREATE权限,允许用户创建数据库和表。以前的Sentry,如果你想要让某个用户能够创建数据库和表即CREATE权限,你必须得给他赋ALL权限,这样其实是不太合理的,比如某个用户你只想让他能够创建表,但是因为有了ALL权限,某个Database下的所有表他都有权限,包括他还能drop掉整个Database或者所有table。

虽然在CDH5.16.1已经添加了Sentry的细粒度create权限,但通过上述的验证发现这个create 权限仍存在问题,通过在CDH 6.1中验证发现已经修复了该问题,目前在CDH 6.1.x 中create权限正常使用。

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2019-03-20,如有侵权请联系 cloudcommunity@tencent.com 删除
专用宿主机
hive
云推荐引擎
数据库
sql

本文分享自 Hadoop实操 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

专用宿主机
hive
云推荐引擎
数据库
sql
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
相关产品与服务
专用宿主机
专用宿主机(CVM Dedicated Host,CDH)提供用户独享的物理服务器资源,满足您资源独享、资源物理隔离、安全、合规需求。专用宿主机搭载了腾讯云虚拟化系统,购买之后,您可在其上灵活创建、管理多个自定义规格的云服务器实例,自主规划物理资源的使用。
产品介绍产品文档
精选特惠 用云无忧
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论