Доступ запрещен - EMR Presto - Авторизация на основе файлов - PullRequest
Новая
       33

Доступ запрещен - EMR Presto - Авторизация на основе файлов

1 голос
/ 05 октября 2019

У меня странная проблема при запросе из Presto (AWS EMR). Я использовал Presto 0.194 и все было в порядке, после обновления до 0.224 я не могу выполнить свои запросы. Я использую аутентификацию LDAP для presto, а также авторизацию базы файлов для Hive с использованием файла authorization.json. Я использую тот же файл JSON, который работал хорошо в старой версии. Любая помощь будет высоко оценена.

Ошибка: запрос 20191005_104119_00006_3snge не выполнен: доступ запрещен: владелец представления «имя пользователя» не может создать представление, которое выбирается из ...

config.propertis: 

coordinator=true
node-scheduler.include-coordinator=false
discovery.uri=http://IP.ap-southeast-1.compute.internal:8889
http-server.threads.max=500
discovery-server.enabled=true
sink.max-buffer-size=1GB
query.max-memory=30GB
query.max-memory-per-node=6532645258B
query.max-total-memory-per-node=7839174309B
query.max-history=40
query.min-expire-age=30m
http-server.http.port=8889
http-server.log.path=/var/log/presto/http-request.log
http-server.log.max-size=67108864B
http-server.log.max-history=5
log.max-size=268435456B
log.max-history=5
query.execution-policy=phased
optimizer.dictionary-aggregation=true
optimizer.optimize-metadata-queries=true
colocated-joins-enabled=true
http-server.authentication.type=PASSWORD
http-server.https.enabled=true
http-server.https.port=9443
http-server.https.keystore.path=/etc/presto/presto_keystore.jks
http-server.https.keystore.key=passw0rd
node-scheduler.max-splits-per-node=125
optimizer.use-mark-distinct=false

hive.properties: 

hive.metastore-refresh-interval=1m
connector.name=hive-hadoop2
hive.metastore.uri=thrift://ip-10-0-2-141.ap-southeast- 
1.compute.internal:9083
hive.metastore-cache-ttl=20m
hive.config.resources=/etc/hadoop/conf/core- 
site.xml,/etc/hadoop/conf/hdfs-site.xml
hive.non-managed-table-writes-enabled = true
hive.s3-file-system-type = EMRFS
hive.hdfs.authentication.type = NONE
hive.hdfs.impersonation.enabled = true
hive.orc.bloom-filters.enabled=true
hive.recursive-directories=true
hive.s3select-pushdown.enabled=true
hive.security=file
security.config-file=/etc/presto/conf.dist/authorization.json

authorization.json: 

{
"schemas": [
{
  "user": "prestoSA",
  "owner": true
},
{
  "user": "marketing_jack",
  "owner": true
},
{
  "user": "system-apiquery",
  "owner": true
},
{
  "user": "redash",
  "owner": true
},
{
  "user": "system_.*",
  "schema": "prestosync_.*",
  "owner": true
},
{
  "user": "system_.*",
  "schema": "views_.*",
  "owner": true
},
{
  "user": "system_.*",
  "schema": "raw_.*",
  "owner": true
}
],
"tables": [
{
  "user": "prestoSA",
  "privileges": [
    "SELECT",
    "INSERT",
    "DELETE",
    "OWNERSHIP"
  ]
},
{
  "user": "redash",
  "privileges": [
    "SELECT"
  ]
},
{
  "schema": "raw_.*",
  "user": "system_.*",
  "privileges": [
    "SELECT",
    "INSERT",
    "DELETE",
    "OWNERSHIP"
  ]
},
{
  "schema": "production_.*",
  "user": "system_.*",
  "privileges": [
    "SELECT",
    "INSERT",
    "DELETE",
    "OWNERSHIP"
  ]
},
{
  "schema": "prestosync_.*",
  "user": "system_.*",
  "privileges": [
    "SELECT",
    "INSERT",
    "DELETE",
    "OWNERSHIP"
  ]
},
{
  "schema": "views_.*",
  "user": "system_.*",
  "privileges": [
    "SELECT",
    "INSERT",
    "DELETE",
    "OWNERSHIP"
  ]
},
{
  "schema": ".*dev",
  "user": "developer_.*",
  "privileges": [
    "SELECT"
  ]
},
{
  "schema": "raw_rin",
  "user": "developer_.*",
  "privileges": [
    "SELECT"
  ]
},
{
  "schema": ".*prod",
  "user": "developer_.*",
  "privileges": [
    "SELECT"
  ]
},
{
  "schema": "views_development_.*",
  "user": "marketing_.*",
  "privileges": [
    "SELECT"
  ]
},
{
  "schema": "views_prod",
  "user": "marketing_.*",
  "privileges": [
    "SELECT"
  ]
},
{
  "schema": "views_dev",
  "user": "sales_.*",
  "privileges": [
    "SELECT"
  ]
},
{
  "schema": "views_prod",
  "user": "sales_.*",
  "privileges": [
    "SELECT"
  ]
},
{
  "schema": "emr59_prod",
  "user": "marketing_.*",
  "privileges": [
    "SELECT"
  ]
},
{
  "schema": "views_dev",
  "user": "management_.*",
  "privileges": [
    "SELECT"
  ]
},
{
  "schema": "views_prod",
  "user": "management_.*",
  "privileges": [
    "SELECT"
  ]
},
{
  "schema": "views_dev",
  "user": "management_.*",
  "privileges": [
    "SELECT"
  ]
},
{
  "schema": "views_prod",
  "user": "management_.*",
  "privileges": [
    "SELECT"
  ]
}
]
}

acceess-control.properties: 

access-control.name=file
security.config-file=/etc/presto/conf.dist/rules.json

rules.json: 

{
"catalogs": [
 {
  "user": "system_.*",
  "catalog": "(mysql|system)",
  "allow": true
},
{
  "user": "prestoSA",
  "catalog": "(mysql|system)",
  "allow": true
},
{
  "user": "redash",
  "catalog": "(mysql|system)",
  "allow": true
},
{
  "user": "developer_.*",
  "catalog": "(mysql|hive)",
  "allow": true
},
{
  "catalog": "hive",
  "allow": true
},
{
  "catalog": "system",
  "allow": false
}
]
}

1 Ответ

2 голосов
/ 05 октября 2019

Ошибка: запрос 20191005_104119_00006_3snge не выполнен: доступ запрещен: владелец представления «имя пользователя» не может создать представление, выбранное из ...

Это означает, что username не имеет GRANT_SELECTпривилегия на конкретный стол или таблицы.

Конкретное изменение, которое затронуло вас, появилось в выпуске 0.199: https://github.com/prestosql/presto/commit/6ed1ed88083baef1d29171364297631962adf05d Это было исправление ошибки (создание представления должно требовать различных привилегий), поэтому преднамеренное (хотя и неудобное) изменение внеслоне поддерживает обратную совместимость.

КСТАТИ Для одноразовых вопросов в стиле устранения неполадок, которые вряд ли будут полезны для SO сообщества, я рекомендую использовать #troubleshooting канал на Presto Community Slack

...