hive运维问题 hive运行模式

Hive运行方式：

1. 命令行方式cli：控制台模式
2. 脚本运行方式（实际生产环境中用最多）
3. JDBC方式：hiveserver2
4. web GUI接口 （hwi、hue等）

Hive在CLI模式中
与hdfs交互
执行执行dfs命令
例：dfs –ls /
与Linux交互
！开头
例： !pwd

Hive脚本运行方式：

hive -e “” 直接执行引号中的语句,可以写多条，用分号分隔
hive -e “” >>aaa.txt
hive -S -e “” >> aaa.txt: ” 静默模式直接执行引号中的语句，并输出到aaa中
hive -f file:执行file文件中的语句
hive -i /home/my/hive-init.sql：执行文件中的sql，不会退出命令行
hive> source file (在hive cli中运行file)

Hive 权限管理

三种授权模型：

1、Storage Based Authorization in the Metastore Server

基于存储的授权 - 可以对Metastore中的元数据进行保护，但是没有提供更加细粒度的访问控制（例如：列级别、行级别）。

2、SQL Standards Based Authorization in HiveServer2

基于SQL标准的Hive授权 - 完全兼容SQL的授权模型，推荐使用该模式。
除支持对于用户的授权认证，还支持角色role的授权认证
role可理解为是一组权限的集合，通过role为用户授权
一个用户可以具有一个或多个角色
默认包含另种角色：public、admin
限制：
启用当前认证方式之后，dfs, add, delete, compile, and reset等命令被禁用。
通过set命令设置hive configuration的方式被限制某些用户使用。（可通过修改配置文件hive-site.xml中hive.security.authorization.sqlstd.confwhitelist进行配置）
添加、删除函数以及宏的操作，仅为具有admin的用户开放。
用户自定义函数（开放支持永久的自定义函数），可通过具有admin角色的用户创建，其他用户都可以使用。
Transform功能被禁用。

配置：
在hive服务端修改配置文件hive-site.xml添加以下配置内容：

<property>
  <name>hive.security.authorization.enabled</name>
  <value>true</value>
</property>
<property>
  <name>hive.server2.enable.doAs</name>
  <value>false</value>
</property>
<property>
  <name>hive.users.in.admin.role</name>
  <value>root</value>
</property>
<property>
  <name>hive.security.authorization.manager</name>
  <value>org.apache.hadoop.hive.ql.security.authorization.plugin.sqlstd.SQLStdHiveAuthorizerFactory</value>
</property>
<property>
  <name>hive.security.authenticator.manager</name>
  <value>org.apache.hadoop.hive.ql.security.SessionStateUserAuthenticator</value>
</property>

服务端启动hiveserver2；客户端通过beeline进行连接

Hive权限管理

角色的添加、删除、查看、设置：

CREATE ROLE role_name;  -- 创建角色
DROP ROLE role_name;  -- 删除角色
SET ROLE (role_name|ALL|NONE);  -- 设置角色
SHOW CURRENT ROLES;  -- 查看当前具有的角色
SHOW ROLES;  -- 查看所有存在的角色

角色的授予、移除、查看：

将角色授予某个用户、角色：

GRANT role_name [, role_name] ...
TO principal_specification [, principal_specification] ...
[ WITH ADMIN OPTION ];
principal_specification
  : USER user
  | ROLE role

移除某个用户、角色的角色：

REVOKE [ADMIN OPTION FOR] role_name [, role_name] ...
FROM principal_specification [, principal_specification] ... ;
 
principal_specification
  : USER user
  | ROLE role

查看授予某个用户、角色的角色列表

SHOW ROLE GRANT (USER|ROLE) principal_name;

查看属于某种角色的用户、角色列表

SHOW PRINCIPALS role_name;

3、Default Hive Authorization (Legacy Mode)
hive默认授权 - 设计目的仅仅只是为了防止用户产生误操作，而不是防止恶意用户访问未经授权的数据。