Необходимость отключения HiveServer2 Олицетворение для часового

Question

Я настроил авторизацию улья, хотя Sentry, и сделал все необходимые изменения. Одним из изменений является отключить HiveServer2 олицетворения, установив ниже собственности:

hive.server2.enable.doAs to false 

Это является обязательным требованием для Sentry, как упоминание в Cloudera Doc here. Итак, что нужно делать, поскольку это очень стандартные требования по инструментам BI. Когда один пользователь будет запускать приложение и будет выдавать себя за пользователя. Пожалуйста, дайте мне знать, если есть какой-то аспект, который мне не хватает из-за этого ограничения.

Answer 1

Олицетворение, выключенное в этом случае, предполагает, что запрос будет работать как пользователь куста. Фактически, основной каталог HDFS в хранилище Hive, управляющий таблицей (-ами) для этого запроса, будет принадлежать пользователю улья. Однако список контроля доступа (ACL) дает право «реальному» пользователю выполнять операции чтения, записи и/или выполнения с базовым файлом HDFS. Кроме того, «реальный» пользователь будет иметь право на операции против таблицы или столбцов в таблице. Списки ACL и права таблицы/столбца составляют так называемую политику Sentry. Поскольку эта политика существует как часть выполнения запроса Hive, нет необходимости олицетворять «настоящего» пользователя. Рассмотрим файл политики Sentry как набор разрешений RBAC (например, на основе ролей). Имея эти разрешения, олицетворение не требуется.