GENERATE_EEK和GET_METADATA在hdfs透明加密中的作用

我不太清楚 GENERATE_EEK 和 GET_METADATA 的 ACL 允许什么。

从对 HDFS 透明加密的天真理解来看，GENERATE_EEK 似乎是为加密区域 (EZ) 生成 EDEK 的请求。

假设

1. 使用名为 keyforuserA 的 keyadmin 用户创建密钥。
2. 接下来为该密钥创建一个策略，keyforuserA 并给 userA DECRYPT_EEK 权限。
3. 在 /ezforuserA 给定的 userA 下为 userA 创建一个加密区域 该 ez 的读取和写入权限。为此，我需要在步骤 2 中的策略或全局策略中将密钥 keyforuserA 的 GET_METADATA 权限授予 hdfs 超级用户。

现在这个用户 A 可以读取和写入 /ezforuserA 中的任何文件到 EZ

当用户 A 想要在 EZ 中执行写入时，namenode 请求 KMS 生成一个 EDEK，然后将其传递回用户 A，并且由于用户 A 可以对用户 A 的密钥执行 DECRYPT_EEK，因此他能够在 EZ 中读取和写入。

GENERATE_EEK 何时发挥作用？ hdfs 用户是否需要每个密钥的此权限？

关于 GET_METADATA 的类似问题 .. 这什么时候起作用？