HDFS 加密:User:hdfs 不允许在 'hdfskey' 上执行 'DECRYPT_EEK'
HDFS encryption: User:hdfs not allowed to do 'DECRYPT_EEK' on 'hdfskey'
我正在尝试在 HDP 2.4 上使用 Ranger KMS 设置 HDFS 加密。
我能够部署和配置 KMS 服务。我已经创建了一个密钥和一个访问策略,以授予 hdfs 用户使用此密钥进行操作的所有权限。
我可以使用
创建一个加密区域
sudo -uhdfs hdfs mkdir /data_enc
sudo -uhdfs hdfs crypto -createZone -keyName hdfskey -path /data_enc
然而,当我尝试将文件放入目录时,出现此错误:
sudo -uhdfs hdfs dfs -put /tmp/file.txt /data_enc/
...
User:hdfs not allowed to do 'DECRYPT_EEK' on 'hdfskey'
hdfs 用户拥有此密钥的所有权限,包括 DECRYPT_EEK。有谁知道会出什么问题?
hdfs 用户在 Ranger 中默认被列入解密操作的黑名单。
此黑名单可能会覆盖授予密钥的 DECRYPT_EEK 权限。
在 Ranger 的 Advanced dbks-site Menu 或 dbks-site.xml 中编辑 属性 hadoop.kms.blacklist.DECRYPT_EEK。
我正在尝试在 HDP 2.4 上使用 Ranger KMS 设置 HDFS 加密。
我能够部署和配置 KMS 服务。我已经创建了一个密钥和一个访问策略,以授予 hdfs 用户使用此密钥进行操作的所有权限。
我可以使用
创建一个加密区域sudo -uhdfs hdfs mkdir /data_enc
sudo -uhdfs hdfs crypto -createZone -keyName hdfskey -path /data_enc
然而,当我尝试将文件放入目录时,出现此错误:
sudo -uhdfs hdfs dfs -put /tmp/file.txt /data_enc/
...
User:hdfs not allowed to do 'DECRYPT_EEK' on 'hdfskey'
hdfs 用户拥有此密钥的所有权限,包括 DECRYPT_EEK。有谁知道会出什么问题?
hdfs 用户在 Ranger 中默认被列入解密操作的黑名单。
此黑名单可能会覆盖授予密钥的 DECRYPT_EEK 权限。
在 Ranger 的 Advanced dbks-site Menu 或 dbks-site.xml 中编辑 属性 hadoop.kms.blacklist.DECRYPT_EEK。