hdfs加密:user:hdfs not 允许对“hdfskey”执行“decrypt\u eek”

mtb9vblg  于 2021-06-02  发布在  Hadoop
关注(0)|答案(1)|浏览(630)

我正在尝试在HDP2.4上用ranger kms设置hdfs加密。
我能够部署和配置kms服务。我已经创建了一个密钥和一个访问策略来授予hdfs用户使用该密钥进行操作的所有权限。
我可以创建一个加密区域

sudo -uhdfs hdfs mkdir /data_enc
sudo -uhdfs hdfs crypto -createZone -keyName hdfskey  -path /data_enc

但是,当我尝试将文件放入目录时,出现以下错误:

sudo -uhdfs hdfs dfs -put /tmp/file.txt /data_enc/
...
    User:hdfs not allowed to do 'DECRYPT_EEK' on 'hdfskey'

hdfs用户拥有此密钥的所有权限,包括解密密钥。有人知道会出什么问题吗?

ee7vknir

ee7vknir1#

hdfs 默认情况下,用户在ranger中的解密操作被列入黑名单。
有可能这个黑名单覆盖了 DECRYPT_EEK 对钥匙的许可。
编辑属性 hadoop.kms.blacklist.DECRYPT_EEK 在任何一种情况下 Advanced dbks-site Menu 在游侠还是在 dbks-site.xml .

相关问题