Вы понимаете из документа правильно.
Например, для Hive данные, связанные с управляемыми таблицами, хранящимися в пути HDFS /user/hive/warehouse (по умолчанию), будут принадлежать hive: hive (пользователь: группа), если включен Sentry. Таким образом, другие пользователи будут ограничены в доступе к файлам в этих каталогах, кроме пользователей, которым разрешен доступ с использованием правил Sentry.
Данные, которые существуют вне этого пути HDFS по умолчанию в Hive, т. Е. Обычно связанные данные с внешней таблицей и другими данными в HDFS все еще можно получить доступ в обычном режиме, минуя Sentry, так как они не управляются Sentry по умолчанию.
Итак, если мы хотим записать данные в один из этих каталогов с помощью запроса Hive в кластеру с включенным Sentry, нам нужно назначить необходимые привилегии для роли, назначенной группе (группе, в которую входит пользователь, выполняющий запрос).
Надеюсь, это поможет!
Подробнее о правилах охраны ЗДЕСЬ