我正在尝试在HDP 2.4上使用Ranger KMS设置HDFS加密。
我能够部署和配置KMS服务。我已经创建了一个密钥和一个访问策略,以授予hdfs用户使用此密钥操作的所有权限。
我可以创建一个加密区域
sudo -uhdfs hdfs mkdir /data_enc
sudo -uhdfs hdfs crypto -createZone -keyName hdfskey -path /data_enc
但是,当我尝试将文件放入目录时,我收到此错误:
sudo -uhdfs hdfs dfs -put /tmp/file.txt /data_enc/
...
User:hdfs not allowed to do 'DECRYPT_EEK' on 'hdfskey'
hdfs用户拥有此密钥的所有权限,包括DECRYPT_EEK。有谁知道什么可能出错?
对于Ranger中的解密操作,hdfs用户默认列入黑名单。
这个黑名单有可能超越给予钥匙的DECRYPT_EEK许可。
在Ranger或hadoop.kms.blacklist.DECRYPT_EEK的Advanced dbks-site Menu中编辑属性dbks-site.xml。