HDFS加密：用戶：hdfs不允許在'hdfskey'上執行'DECRYPT_EEK'

Question

我想在HDP 2.4上用Ranger KMS設置HDFS加密。

我能夠部署和配置KMS服務。我創建了一個密鑰和一個訪問策略，以授予hdfs用戶使用此密鑰的所有權限。

我能夠創建加密區與

sudo -uhdfs hdfs mkdir /data_enc 
sudo -uhdfs hdfs crypto -createZone -keyName hdfskey -path /data_enc 

然而，當我試圖把一個文件到該目錄中，我得到這個錯誤：

sudo -uhdfs hdfs dfs -put /tmp/file.txt /data_enc/ 
... 
    User:hdfs not allowed to do 'DECRYPT_EEK' on 'hdfskey' 

HDFS用戶擁有所有權限對於這個鍵，包括DECRYPT_EEK。有誰知道會出現什麼問題？

Answer 1

hdfs用戶被默認列入黑名單，用於Ranger中的解密操作。
此黑名單可能會覆蓋給予密鑰的DECRYPT_EEK權限。

編輯遊俠或dbks-site.xml屬性hadoop.kms.blacklist.DECRYPT_EEK在任一Advanced dbks-site Menu。