4

我正在尝试在 HDP 2.4 上使用 Ranger KMS 设置 HDFS 加密。

我能够部署和配置 KMS 服务。我创建了一个密钥和一个访问策略来授予 hdfs 用户使用此密钥进行操作的所有权限。

我可以创建一个加密区域

sudo -uhdfs hdfs mkdir /data_enc
sudo -uhdfs hdfs crypto -createZone -keyName hdfskey  -path /data_enc

但是,当我尝试将文件放入目录时,出现此错误:

    sudo -uhdfs hdfs dfs -put /tmp/file.txt /data_enc/
...
    User:hdfs not allowed to do 'DECRYPT_EEK' on 'hdfskey'

hdfs 用户拥有此密钥的所有权限,包括 DECRYPT_EEK。有谁知道会出什么问题?

4

1 回答 1

6

hdfs默认情况下,用户被列入 Ranger 中解密操作的黑名单。
此黑名单可能会覆盖DECRYPT_EEK授予密钥的权限。

hadoop.kms.blacklist.DECRYPT_EEKAdvanced dbks-site MenuRanger 或 中编辑属性dbks-site.xml

于 2017-03-07T14:15:37.893 回答