我想看看是否有可能通过用户通过包含其权限的第三方访问来更新apache ranger上的权限。例如:用户试图访问受标记策略保护的配置单元表,在护林员检查其权限之前,他运行脚本\api调用来与第三方检查该用户是否确实有访问权限(如果他最近从不同的方获得访问权限(
在流浪者队或类似的球队中有这样的可能性吗?
提前感谢!
@coading_potato Ranger不强制执行策略,让我们来谈谈HDFS,所以在这种情况下,Namenode将从Ranger Admin获取策略,并在policycache.json文件中保留策略的副本。每次进行hdfs操作时,namenode都会从policycache.json文件中读取策略。
如果你撤销了护林员,政策仍然有效。
关于自动创建策略,您当然可以使用脚本,但这不是一个好的做法。
我从问题中了解到,你们有基于标签的策略,所以我建议使用标签和组来创建策略。这肯定会减少你的工作量。