Ich habe gelesen, dass für die Verwendung von Sentry müssen Sie Hive Benutzer Identitätswechsel deaktivieren.Hive Benutzeridentitätswechsel für Sentry
Muss der Identitätswechsel deaktiviert werden? Wenn ja, gibt es eine andere Möglichkeit, den Hive-Benutzer mit aktiviertem Sentry zu imitieren?
Identitätswechsel und Sentry sind zwei verschiedene Arten Zulassung in Hive zur Verfügung zu stellen. Die erste basiert auf "POSIX-like" hdfs-Dateisystemberechtigungen, während Sentry das rollenbasierte Autorisierungsmodul + SentryService ist.
Es gibt keine Möglichkeit Sentry mit Identitätswechsel in Hive aktiviert zu verwenden. Es könnte ein Sicherheitsproblem sein. Benutzer/Anwendung mit gewährtem Zugriff auf eine Entität (Datenbank, Tabelle), die im Hive-Metadata-Store gespeichert ist, kann auf jedes Verzeichnis/jede Datei auf hdfs zugreifen, das nicht zu ihm "gehört".
Nach Cloudera der Identitätswechsel ist keine empfohlene Methode zum Implementieren der Autorisierung in HiveServer2 (HiveServer2 Impersonation).