我不太清楚 GENERATE_EEK 和 GET_METADATA 的 ACL 允许什么。
从对 HDFS 透明加密的天真理解来看,GENERATE_EEK 似乎是为加密区域 (EZ) 生成 EDEK 的请求。
假设
现在这个用户 A 可以读取和写入 /ezforuserA 中的任何文件到 EZ
当用户 A 想要在 EZ 中执行写入时,namenode 请求 KMS 生成一个 EDEK,然后将其传递回用户 A,并且由于用户 A 可以对用户 A 的密钥执行 DECRYPT_EEK,因此他能够在 EZ 中读取和写入。
GENERATE_EEK 何时发挥作用? hdfs 用户是否需要每个密钥的此权限?
关于 GET_METADATA 的类似问题 .. 这什么时候起作用?
也想回答这个问题