Amazon EMR と Apache Ranger の統合用 Apache Hive プラグイン - Amazon EMR
サポートされている機能サービス設定のインストール考慮事項制限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EMR と Apache Ranger の統合用 Apache Hive プラグイン

Apache Hive は Hadoop エコシステム内の普及している実行エンジンです。Amazon EMR は、Hive のきめ細かなアクセスコントロールを提供できる Apache Ranger プラグインを提供しています。このプラグインはオープンソースの Apache Ranger 管理サーバーバージョン 2.0 以降と互換性があります。

サポートされている機能

EMR 上の Hive 用の Apache Ranger プラグインは、データベース、テーブル、列レベルのアクセスコントロール、行フィルタリング、データマスキングなど、オープンソースプラグインのすべての機能をサポートしています。Hive コマンドおよび関連する Ranger アクセス許可の表については、「Hive commands to Ranger permission mapping」を参照してください。

サービス設定のインストール

Apache Hive プラグインは、Apache Hive Hadoop SQL 内の既存の Hive サービス定義と互換性があります。

Hadoop SQL の Apache Hive サービス定義。

上記のように Hadoop SQL の下にサービスのインスタンスがない場合には、インスタンスを作成できます。Hadoop SQL の横の [+] をクリックします。

  1. [Service Name] (サービス名): これが表示されている場合は、サービス名を入力します。推奨値は amazonemrhive です。このサービス名をメモしておいてください。EMR セキュリティ設定を作成するときに必要です。

  2. [Display Name] (表示名): サービスに対して表示する名前を入力します。推奨値は amazonemrhive です。

Hadoop SQL の Apache Hive サービスの詳細。

Apache Hive 設定プロパティは、HiveServer2 を使用して Apache Ranger 管理サーバーへの接続を確立し、ポリシーの作成時にオートコンプリートを実装するために使用されます。永続的な HiveServer2 プロセスがない場合は、以下のプロパティは正確である必要はなく、任意の情報を入力できます。

  • [Username] (ユーザー名): HiveServer2 インスタンスのインスタンスへの JDBC 接続のユーザー名を入力します。

  • [Password] (パスワード): 上記のユーザー名のパスワードを入力します。

  • jdbc.driver.ClassName: Apache Hive 接続用の JDBC クラスのクラス名を入力します。デフォルト値を使用できます。

  • jdbc.url: HiveServer2 への接続時に使用する JDBC 接続文字列を入力します。

  • [Common Name for Certificate] (証明書の共通名): クライアントプラグインから管理サーバーに接続するために使用する証明書内の CN フィールド。この値は、プラグイン用に作成された TLS 証明書の CN フィールドと一致する必要があります。

Apache Hive サービス設定プロパティ。

[Test Connection] (接続のテスト) ボタンでは、上記の値を使用して HiveServer2 インスタンスに正常に接続できるかどうかをテストします。サービスが正常に作成されると、サービスマネージャは以下のようになります。

HiveServer2 インスタンスに接続されている

考慮事項

Hive メタデータサーバー

Hive メタデータサーバーには、不正アクセスから保護するために、信頼されたエンジン (具体的には Hive および emr_record_server) からしかアクセスできません。また、Hive メタデータサーバーには、クラスター上のすべてのノードからもアクセスできます。ポート 9083 は必須で、メインノードへのすべてのノードアクセスを提供します。

認証

デフォルトでは、Apache Hive は EMR セキュリティ設定で構成された Kerberos を使用して認証するように設定されています。HiveServer2 は、LDAP を使用してユーザーを認証するように設定することもできます。「Implementing LDAP authentication for Hive on a multi-tenant Amazon EMR cluster」を参照してください。

制限

Amazon EMR 5.x での Apache Hive プラグインの現在の制限事項は次のとおりです。

  • Hive ロールは、現在サポートされていません。Grant、Revoke ステートメントはサポートされていません。

  • Hive CLI はサポートされていません。JDBC/Beeline だけが Hive を接続するために認可されている方法です。

  • hive.server2.builtin.udf.blacklist 設定には、安全ではないと判断される UDF を入力する必要があります。