HDFS加密：用户：hdfs不允许在'hdfskey'上执行'DECRYPT_EEK'

Question

我想在HDP 2.4上用Ranger KMS设置HDFS加密。

我能够部署和配置KMS服务。我创建了一个密钥和一个访问策略，以授予hdfs用户使用此密钥的所有权限。

我能够创建加密区与

sudo -uhdfs hdfs mkdir /data_enc 
sudo -uhdfs hdfs crypto -createZone -keyName hdfskey -path /data_enc 

然而，当我试图把一个文件到该目录中，我得到这个错误：

sudo -uhdfs hdfs dfs -put /tmp/file.txt /data_enc/ 
... 
    User:hdfs not allowed to do 'DECRYPT_EEK' on 'hdfskey' 

HDFS用户拥有所有权限对于这个键，包括DECRYPT_EEK。有谁知道会出现什么问题？

Answer 1

hdfs用户被默认列入黑名单，用于Ranger中的解密操作。
此黑名单可能会覆盖给予密钥的DECRYPT_EEK权限。

编辑游侠或dbks-site.xml属性hadoop.kms.blacklist.DECRYPT_EEK在任一Advanced dbks-site Menu。