目錄和文件訪問(wèn)權(quán)限
文件存儲(chǔ) HDFS 版為目錄和文件提供了一種訪問(wèn)權(quán)限,該訪問(wèn)權(quán)限類似于POSIX文件系統(tǒng)的權(quán)限模型。本文簡(jiǎn)要介紹訪問(wèn)權(quán)限的概念、使用方式及其相關(guān)注意事項(xiàng)。
訪問(wèn)權(quán)限介紹
文件存儲(chǔ) HDFS 版文件系統(tǒng)中的每一個(gè)文件或者目錄會(huì)關(guān)聯(lián)到三個(gè)權(quán)限集合。這三個(gè)集合分別代表了文件或者目錄的所有者(Owner),文件或者目錄所屬的組(Group),所有其他用戶(Other)。每一個(gè)集合可能包含Read(R)、Write(W)和Execute(X)權(quán)限,某個(gè)用戶需要滿足相應(yīng)的權(quán)限要求才能執(zhí)行對(duì)應(yīng)的操作。
文件和目錄的權(quán)限說(shuō)明如下表所示。
權(quán)限名稱 | 文件 | 目錄 |
Read(R) | 可以讀取文件的內(nèi)容。 | 查看目錄需要Read和Execute權(quán)限。 |
Write(W) | 可以在文件中寫(xiě)入或追加內(nèi)容。 | 在目錄下創(chuàng)建節(jié)點(diǎn)需要Write和Execute權(quán)限。 |
Execute(X) | HDFS中文件的Execute權(quán)限沒(méi)有意義。 | 遍歷目錄時(shí)需要目錄的Execute權(quán)限。 |
在文件系統(tǒng)中各個(gè)權(quán)限信息及其含義如下所示。
①代表所有者權(quán)限。
②代表組權(quán)限(一個(gè)組中除所有者擁有的權(quán)限)。
③代表其他用戶權(quán)限(除當(dāng)前所有者的組,其他組可以進(jìn)行訪問(wèn)的權(quán)限)。
權(quán)限的數(shù)字表示方式
在權(quán)限中,RWX表示Read(R)+Write(W)+Execute(X),也可以使用更加簡(jiǎn)潔的數(shù)字形式表示權(quán)限,Read=4,Write=2,Execute=1。下表簡(jiǎn)要說(shuō)明了數(shù)字和短格式之間的關(guān)系。
數(shù)字形式 | 短格式 | 說(shuō)明 |
7 | RWX | 所有權(quán)限 |
5 | R-X | 讀取+執(zhí)行權(quán)限 |
4 | R-- | 讀取權(quán)限 |
0 | --- | 無(wú)權(quán)限 |
權(quán)限示例
例如,HDFS中的一個(gè)目錄結(jié)構(gòu)為/Dir1/Dir2/file,Dir1是根目錄中的一個(gè)目錄,Dir2是Dir1中的一個(gè)目錄,file是Dir2中的一個(gè)文件。當(dāng)您需要對(duì)/,Dir1,Dir2或file進(jìn)行操作時(shí),您需要滿足其對(duì)應(yīng)的操作權(quán)限,如下表所示。更多有關(guān)Hadoop權(quán)限模型的信息,請(qǐng)參見(jiàn)HDFS Permissions Guide。
操作 | / | Dir1/ | Dir2/ | file |
創(chuàng)建目錄/Dir1 | -WX | --- | --- | --- |
創(chuàng)建目錄/Dir1/Dir2 | --X | -WX | --- | --- |
創(chuàng)建文件/Dir1/Dir2/file | --X | --X | -WX | --- |
讀打開(kāi)/Dir1/Dir2/file | --X | --X | --X | R-- |
寫(xiě)打開(kāi)/Dir1/Dir2/file | --X | --X | --X | -W- |
刪除目錄/Dir1 | -WX | RWX | RWX | --- |
刪除文件/Dir1/Dir2/file | --X | --X | --- | --- |
Stat file | --X | --X | --X | --- |
list /Dir1 | --X | R-X | --- | --- |
list /Dir1/Dir2 | --X | --X | R-X | --- |
超級(jí)用戶
文件存儲(chǔ) HDFS 版提供超級(jí)用戶組(supergroup)的概念,屬于supergroup的用戶是超級(jí)用戶(superuser),超級(jí)用戶可以跳過(guò)權(quán)限檢查。文件存儲(chǔ) HDFS 版默認(rèn)的超級(jí)用戶組名稱為supergroup,默認(rèn)的超級(jí)用戶為root。
文件存儲(chǔ) HDFS 版提供了用戶和組映射功能來(lái)管理用戶和組的映射關(guān)系,您可以通過(guò)該功能創(chuàng)建、刪除以及查看用戶和組的映射關(guān)系。更多信息,請(qǐng)參見(jiàn)通過(guò)API管理用戶和組的映射關(guān)系。
umask
在創(chuàng)建文件或者目錄的時(shí)候,如果不指定權(quán)限會(huì)有一個(gè)默認(rèn)的權(quán)限 。目錄的默認(rèn)權(quán)限為0777&(~umask),文件的默認(rèn)權(quán)限為0666&(~umask),umask的默認(rèn)值為022。您可以通過(guò)配置fs.permissions.umask-mode選項(xiàng)修改默認(rèn)的umask。
使用須知
用戶身份認(rèn)證
文件存儲(chǔ) HDFS 版僅支持簡(jiǎn)單的身份認(rèn)證,不支持Kerberos。
用戶組映射管理
文件存儲(chǔ) HDFS 版僅支持使用OpenAPI對(duì)單個(gè)文件系統(tǒng)的用戶和組進(jìn)行管理,不支持接入LDAP,RANGER等第三方系統(tǒng)。
權(quán)限管理
文件存儲(chǔ) HDFS 版權(quán)限檢查兼容posix file system permission model,不支持ACL進(jìn)行細(xì)粒度的權(quán)限管理。
常見(jiàn)問(wèn)題
什么是超級(jí)用戶和超級(jí)用戶組?
在超級(jí)用戶組里的用戶統(tǒng)稱為超級(jí)用戶,使用超級(jí)用戶訪問(wèn)文件系統(tǒng)可以跳過(guò)權(quán)限檢查。
默認(rèn)的超級(jí)用戶和超級(jí)用戶組是什么?
默認(rèn)的超級(jí)用戶為root,默認(rèn)的超級(jí)用戶組為supergroup。
怎么禁用權(quán)限檢查?
文件存儲(chǔ) HDFS 版不提供禁用權(quán)限檢查選項(xiàng),您可以通過(guò)將用戶加入supergroup的方式繞過(guò)權(quán)限檢查。
我不關(guān)心權(quán)限檢查,應(yīng)該怎么做才能保證業(yè)務(wù)不受權(quán)限的影響呢?
目前,文件存儲(chǔ) HDFS 版不提供禁用權(quán)限檢查選項(xiàng),您可以使用擁有超級(jí)用戶權(quán)限的用戶(該用戶位于supergroup組中)來(lái)繞過(guò)權(quán)限檢查,使用supergroup組中的用戶有如下兩種方式:
使用默認(rèn)的超級(jí)用戶root訪問(wèn)文件系統(tǒng)。
將可能使用該文件系統(tǒng)的用戶添加到supergroup中,這些用戶就擁有超級(jí)用戶權(quán)限。
新建文件系統(tǒng)無(wú)法正常訪問(wèn),返回“permission denied”錯(cuò)誤該如何處理?
原因分析:新建文件系統(tǒng)的根目錄權(quán)限為:
0755 root:supergroup。因此非超級(jí)用戶沒(méi)有寫(xiě)權(quán)限。解決方案:
給無(wú)法正常訪問(wèn)的用戶賦予正確的權(quán)限。
使用超級(jí)用戶訪問(wèn)文件系統(tǒng)。
如果我使用了1.0.5版本SDK訪問(wèn)了文件系統(tǒng),再使用2.1.0版本訪問(wèn)發(fā)現(xiàn)權(quán)限系統(tǒng)被破壞了,該怎么辦?
如果是由于使用1.0.5版本SDK訪問(wèn)文件系統(tǒng)導(dǎo)致文件系統(tǒng)的權(quán)限遭到破壞,您可以使用2.1.0版本SDK以超級(jí)用戶的身份將文件系統(tǒng)的權(quán)限修改到正確狀態(tài)。建議只使用2.1.0版本SDK訪問(wèn)文件系統(tǒng)。