Синхронизация прав пользователя хранилища озера данных Azure с Apache Ranger & Active Directory

Question

Архитектура: кластер Bigdata, развернутый с использованием Hortonworks Cloudbreak в Microsoft Azure с хранилищем в качестве хранилища озера данных Azure (ADLS).Пользователи будут синхронизироваться из клиентов Active Directory в Azure Active Directory.

Apache Ranger будет использоваться для обеспечения доступа на основе тегов и ролей к объектам данных, которые находятся в ADLS, но при доступе к ADLS из-за пределов среды Hadoop, напримеркак из Azure Storage Explorer Ranger теряет свой контроль.

Вопрос: Как мы можем гарантировать, что Ranger & Azure Active Directory синхронизируются , чтобы политики рейнджера могли применяться при обращении пользователей к ADLS изAzure Storage Explorer или портал Azure?

В Интернете найдена только соответствующая ссылка:

http://mail -archives.apache.org / mod_mbox / ranger-user / 201803.mbox /%3C0269973F-08C2-4C86-B582-3DD96341B59A@hortonworks.com%3E

Answer 1

В настоящее время не существует комплексного решения для этого, поскольку Apache Ranger (основанный на политике, оцениваемый во время выполнения) и ADLS (назначенные для каждого файла ACL-списки) сильно отличаются, поэтому разрешения / политики не могут просто отображаться и синхронизироваться из Apache Ranger ,

Единственное «безопасное решение» - это полная блокировка прямого доступа к данным и обеспечение доступа всех данных к каналу через кластер. По сути, это та же модель, которая используется в локальной HDFS, когда единственная модель доступа к данным - через кластер.

Хотя использование этого «безопасного решения» уменьшит ценность использования ADLS.

Если вы заинтересованы в реализации этой функции, пожалуйста, отправьте свой отзыв в Azure, и, если сообщество проявит достаточный интерес, команда разработчиков планирует включить его в план действий. https://feedback.azure.com/forums/34192--general-feedback