前言

HetuEngine支持两种权限管控方式，分别是基于Ranger的权限管控和基于Metastore权限管控。安全模式集群支持两种权限管控方式，3202版本开始，非安全模式集群支持进行Ranger权限管控。本章将对HetuEngine的权限管控能力和操作实践进行介绍。

基本权限

在安全模式下，HetuEngine提供了如下两种权限管控方式，默认使用Ranger权限模型：

• Ranger权限管控方式。
• Metastore权限管控方式。

Ranger和MetaStore的差异见下表，两者都支持用户、用户组以及角色的鉴权。

权限原则与约束

• HetuEngine访问同集群数据源：

        HetuEngine启用Ranger鉴权，则统一使用Ranger的PBAC权限策略做鉴权。

        HetuEngine停用Ranger鉴权，则统一使用MetaStore的RBAC权限策略做鉴权。

• HetuEngine访问跨集群数据源：

        同时受HetuEngine端权限和数据源端权限管控（Hive场景下，依赖于HDFS）。

• 查询视图时，仅需给目标视图授予select权限即可；使用视图联表查询时，需要同时给两者授予select权限。
  

基于Ranger权限管控的操作指导

以rangeradmin用户登陆Ranger页面，点击HetuEngine能够进入策略界面

进入HetuEngine策略界面能够看到一系列预置策略，点击编辑能够针对策略添加对应的用户。

点击“Add New Policy”能够新增权限策略

下图示例，为Hetu_user1和Hetu_user2添加hive catalog权限，并为Hetu_user1配置test表A列的权限。

create table test (a int, b int);
insert into test values (1, 2), (3, 4);

使用User1访问表：

关闭Ranger权限方式：

进入HetuEngine服务界面，点击更多可关闭Ranger鉴权。重启HetuEngine服务和计算实例使配置生效。

基于Hive Metastore权限管控操作指导

使用metastore鉴权需要开启Hive类型数据源中，开启数据源鉴权的开关。如果开启了Ranger鉴权又开启的数据源鉴权的话，两套鉴权方案会同时生效。

可在Manager系统界面中添加角色，配置所需的权限，并修改用户，为其绑定该角色从而实现metastore权限管控。修改后5min生效。