Byzer 权限控制插件介绍
Byzer 目前提供了一个简单的权限控制扩展。
1. 项目地址为: byzer-extension/byzer-simple-auth at master · byzer-org/byzer-extension
安装
三步即可。
1. 通过下载地址 byzer-simple-auth 下载 Byzer 扩展包。将其拷贝到 Byzer 的插件目录($BYZER_HOME/plugin)。
2. 修改配置文件 ${BYZER_HOME}/conf/byzer.properties.overwrite, 添加如下配置:
# Configure entry class for authentication
streaming.plugin.clzznames=tech.mlsql.plugins.auth.simple.app.ByzerSimpleAuthApp
# Configure authentication implementation class
spark.mlsql.auth.implClass=tech.mlsql.plugins.auth.simple.app.ByzerSimpleAuth
# Configure the directory of the auth configuration file
spark.mlsql.auth.simple.dir=./conf/simple-auth/ 3. 启动/重启 Byzer ( ${BYZER_HOME}/bin/byzer.sh restart ) 即可生效。
管理员初始化
在 byzer-simple-auth 现阶段是以 "资源" 为主体的。
我们可以通过如下命令赋予 allwefantasy 用户进行权限管理的权限:
!simpleAuth resource add _ -type mlsql_system -path __auth_admin__ -allows allwefantasy;
!simpleAuth admin reload;上面表示我们只允许 allwefantasy 用户使用 !simpleAuth 命令。第二条语句是对操作进行刷新。
专家模式
除了上面提到的命令行模式,也支持通过 YAML 文件描述资源控制:
!simpleAuth resource add '''
apiVersion: auth.byzer.org/v1
kind: Auth
userView: []
resourceView:
- metadata:
resources:
- name: "file"
path: "s3a://bucket2/jack"
rules:
- rule:
verbs:
- "load"
users:
allows:
- name: allwefantasy
role: testRole
denies:
- name: jack
role: testRole
''';资源控制
现阶段(2023-03-08)支持的资源类型为:
1. file
2. jdbc
3. delta
4. hive
5. 特殊资源,比如前面 mlsql_system.__auth_admin__ 就是一个特殊资源。还有比如 mlsql-shell等插件也是映射特殊资源来对待,来保证只有授权用户才能使用 mlsql-shell提供的扩展能力。用户可以参考对应插件的文档。
FILE
通过下面命令我们可以控制只有 allwefantasy 访问 s3a://bucket7/tmp/jack 以及对应的子目录。
!simpleAuth resource add _ -type file -path "s3a://bucket7/tmp/jack" -allows allwefantasy;如果确认,可以通过如下命令使得刚才添加的指令生效:
!simpleAuth admin reload;如果你希望撤销这条指令,可以通过如下方式完成:
!simpleAuth resource delete _ -type file -path "s3a://bucket7/tmp/jack" -allows allwefantasy;如果你希望查询某个资源的配置情况:
!simpleAuth resource query _ -type file -path "s3a://bucket7/tmp/jack";如果你希望使用黑名单而不是白名单的话,那么可以这么用:
!simpleAuth resource add _ -type file -path "s3a://bucket7/tmp/jack" -denies user1,user2如果用户同时配置了 -allows 和 -denies, 系统会先检查当前用户是不是在 -allows里,如果不是,则会检查是不是在-denies里,如果不在,则允许访问。如果用户只配置了 -allows 则只有在名单里的才会允许访问,同理如果只配置了 -denies,只要不在 -denies里的,则会允许访问。
JDBC
目前JDBC 数据源无法按实例来区分,只能按库表名称区分。
!simpleAuth resource add _ -type jdbc -path "wow.vega_datasets" -denies allwefantasy;
!simpleAuth admin reload;对于上面的例子,我们不允许 allwefantasy 访问库表名称为 wow.vega_datasets的资源。如果在两个不同的MySQL 实例有相同的库表,那么当前是无法区别的,在权限系统里会被视为同一个资源。
DELTA
!simpleAuth resource add _ -type delta -path "demo.table1" -denies allwefantasy;
!simpleAuth admin reload;Hive
!simpleAuth resource add _ -type hive -path "default.table1" -denies allwefantasy;
!simpleAuth admin reload;总结
通过 byzer-simple-auth, 我们可以快速的对访问的资源按用户进行控制。