一种权限管理方法及装置与流程

本发明属于计算机领域，尤其涉及一种权限管理方法及装置。

背景技术：

近几年，大数据hadoop相关技术发展如火如荼，对权限管理的需求也越来越紧迫。大数据权限控制是授权用户、组和计算机来访问大数据环境上的数据的过程。它的主要功能是对数据资源使用权限进行控制，让经过授权的用户可以正常合法的访问已授权的数据和计算资源，而将那些未授权的非法用户拒之门外，也可以防止合法的用户对受保护的数据和计算资源进行非授权的访问。

因此，迫切需要提供一种为大数据平台提供统一权限管理的方案。

技术实现要素：

本发明提供一种一种权限管理方法及装置，以解决上述问题。

本发明提供一种权限管理方法。上述方法包括以下步骤：

在接收到来自用户的权限申请请求后，生成与所述用户对应的票据，并创建与所述用户对应的权限；

将所述票据发送至所述用户。

本发明还提供一种权限管理装置，包括：权限管理模块、反馈模块，其中，所述权限管理模块与所述反馈模块连接；

权限管理模块，用于在接收到来自用户的权限申请请求后，生成与所述用户对应的票据，并创建与所述用户对应的权限；

反馈模块，用于将所述票据发送至所述用户。

通过以下方案：在接收到来自用户的权限申请请求后，生成与所述用户对应的票据，并创建与所述用户对应的权限；将所述票据发送至所述用户，建立一个有普遍意义的权限控制模型，极大提高了大数据生态的安全性。

通过以下方案：创建与所述用户对应的权限包括：创建所述用户在数据库中的私有名字空间，hive组件的用户私有库，创建在资源管理组件中相应的队列，创建文件分布式组件中的数据操作目录，完成对大数据生态各组件的统一权限管理，保障大数据集群的多租户稳定性与安全性。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1所示为本发明实施例1的权限管理方法处理流程图；

图2所示为本发明实施例2的权限管理架构图；

图3所示为本发明实施例3的权限管理装置结构图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

图1所示为本发明实施例1的权限管理方法处理流程图，包括以下步骤：

步骤102：在接收到来自用户的权限申请请求后，生成与所述用户对应的票据，并创建与所述用户对应的权限。

步骤104：将所述票据发送至所述用户。

进一步地，在步骤102中，创建与所述用户对应的权限包括：

创建所述用户在数据库中的私有名字空间，hive组件的用户私有库。

创建与所述用户对应的权限还包括：

创建在资源管理组件中相应的队列，创建文件分布式组件中的数据操作目录。

其中，在ranger中创建与所述用户对应的权限。

进一步地，采用hue技术实现用户操作界面与数据集群之间的交互。

本实施例解决了大数据集群中多租户及权限控制的一体化管理问题，将kerberos、ranger、yarn三个组件深度结合，通过横向打通、纵向关联，共同实现整个大数据集群的租户管理、权限管理以及资源管理。实现对hdfs、hive、hbase、yarn队列等大数据组件的用户权限分配与多租户管理，有着环境易搭建、扩展性良好的特点。

图2所示为本发明实施例2的权限管理架构图。

如图2所示，通过kerberos、ranger、hue、yarn4个组件的有机组合，共同形成统一的授权体系。kerberos是安全认证组件，ranger控制数据访问权限组件，hue是一个开源的apachehadoopui系统组件，yarn是对队列的控制组件。

首先，用户向本权限管理平台申请票据；

接着权限管理平台在接收到该申请之后，生成票据，在生成票据的过程中，在ranger中创建hbase的私有名字空间(namespace)、hive组件的用户私有库以及yarn中相应的队列、hdfs(文件分布式组件)数据操作目录，并对上述各项进行相应的授权；

然后权限管理平台将票据发放给用户，用户得到登陆hue的用户名/密码以及票据(为后台应用调用所用)。

采用hue技术，可以在浏览器端的web控制台上与hadoop集群进行交互来分析处理数据，例如操作hdfs上的数据，运行mapreducejob等等。

本权限管理平台使用hue进行相应操作。hbase自上而下，控制权限可以最小至cell(单元/字段级)；hive支持alter、update、create、drop、index、select等传统权限；yarn即是对队列的控制；hdfs权限控制即是对相应目录的授权。

通过此上述方案，整个大数据集群的授权入口唯一，增强了集群的安全性，从用户创建到授权，再到hue的可视化界面操作，做到了整个大数据用户的全生命周期管理。

图3所示为本发明实施例3的权限管理装置结构图。

如图3所示，根据本发明的实施例的一种权限管理装置，包括：数据传输模块302、数据处理模块304，其中，所述数据传输模块与所述数据处理模块连接；

权限管理模块302，用于在接收到来自用户的权限申请请求后，生成与所述用户对应的票据，并创建与所述用户对应的权限；

反馈模块304，用于将所述票据发送至所述用户。

进一步地，所述权限管理模块302包括：

第一授权单元3022，用于创建所述用户在数据库中的私有名字空间，hive组件的用户私有库。

其中，所述权限管理模块还包括：

第二授权单元3024，创建在资源管理组件中相应的队列，创建文件分布式组件中的数据操作目录。

所述权限管理模块302在ranger中创建与所述用户对应的权限。

进一步地，还包括：界面控制模块306，连接至所述权限管理模块302，用于采用hue技术实现用户操作界面与数据集群之间的交互。

通过kerberos、ranger、hue、yarn4个组件的有机组合，共同形成统一的授权体系。通过自定义的授权流程，对hdfs、hive等组件创建操作空间，完成对租户的初始化操作空间的定义。针对不同用户、不同组件，均初始化一个操作空间供租户使用，再针对租户需求使用ranger对交叉数据进行授权。

通过以下方案：在接收到来自用户的权限申请请求后，生成与所述用户对应的票据，并创建与所述用户对应的权限；将所述票据发送至所述用户，建立一个有普遍意义的权限控制模型，极大提高了大数据生态的安全性。

通过以下方案：创建与所述用户对应的权限包括：创建所述用户在数据库中的私有名字空间，hive组件的用户私有库，创建在资源管理组件中相应的队列，创建文件分布式组件中的数据操作目录，完成对大数据生态各组件的统一权限管理，保障大数据集群的多租户稳定性与安全性。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。