Hive authentication / authorization

[eubnara]

Authentication

HiveServer2

• Authentication: https://cwiki.apache.org/confluence/display/hive/setting+up+hiveserver2#SettingUpHiveServer2-Authentication/SecurityConfiguration

  hive.server2.authentication # NONE, NOSASL, KERBEROS, LDAP, PAM, and CUSTOM

  자세한 설정은 문서 참고

Hive Metastore

• https://cwiki.apache.org/confluence/display/hive/configuration+properties

hive.metastore.sasl.enabled true

If true, the metastore thrift interface will be secured with SASL. Clients must authenticate with Kerberos.

KERBEROS 인증을 할지말지만 추가 가능한듯.

Authorization

https://cwiki.apache.org/confluence/display/Hive/LanguageManual+Authorization

1. Storage based authorization in the Metastore server
2. SQL standards based authorization in HiveServer2
3. Authorization using Apache Ranger & Sentry
4. Old default Hive Authorization (Legacy Mode)

• HMS 에는 1번을, HS2 에는 2번을 적용하면서 상호보완할 수 있다.
• 3번에서 Apache Ranger 를 사용하는 경우 UI 에서 동적으로 policy 를 만들고 적용할 수 있어 편리하다. 데이터베이스, 테이블, 칼럼 단위로 어떤 권한을 줄 것인지(e.g. select, update, create, drop, read, write ...) 설정할 수 있다. udf, hiveservice, url 등의 항목에 대해서도 설정이 가능한듯 한데 써보진 못했다.