如何在Hive on Tez集群中管理用户访问权限？

1 Hive on Tez用户访问

Hive on Tez是上层应用Hive原来的MapReduce下一代的资源管理器，它基于Tez平台提供了一套实时分布式数据处理框架， Hive on Tez可以有效支持Hive的实时处理和流程体验，采用Tez运行引擎具有优雅运行模型，编译性能更佳，对线上记账运行可以提升更稳定的体验，实现超低延迟时间，极大的提高了处理数据的能力。

2 Hive on Tez管理用户访问权限

2.1 调整hive配置文件

hive配置文件在Hive2 on Tez中已经有一系列配置，包括用户及其角色的权限配置。需要在hive-site.xml配置文件中添加以下配置：

eventbus.authentication.enabled true eventbus.authorization.enabled true

2.2 设置hive用户组的权限

在Hive on Tez中，管理员可以为用户组设定不同的权限，以便只允许指定用户组有权执行某些操作。在Hive on Tez中有内置的几种权限：read（读）、write（写）、execute（执行）和create（创建）。可以使用以下hive sql语句来设置用户组的访问权限：

GRANT {READ|WRITE|EXECUTE|CREATE} ON OBJECT TO GROUP ‘groupname’

例如：GRANT READ ON TABLE my_table TO GROUP ‘my_group’

2.3 设置角色权限

在Hive on Tez中，管理员首先可以为元框架中的每个用户设置角色，然后再为角色设置对应的权限。这样就可以定制用户的访问权限，使不同角色的用户拥有不同的操作权限，只有被赋予某项权限的用户才能执行相应的操作。

可以使用以下hive sql语句来设置角色的访问权限：

GRANT ROLE role_name TO USER user_name

例如：GRANT ROLE read_only TO USER user_a

3 安全管理

3.1 内部表权限控制

如果用户希望在Hive on Tez上执行内部表，可以通过控制用户访问内部表来实现安全控制。用户可以根据自己的需求，向内部表添加用户组权限，或者限制特定用户组访问特定类型的内部表，这样可以更好地保护敏感数据和数据安全。

3.2 访问控制

当用户希望访问Hive on Tez上的数据时，必须先对访问的数据进行授权，在授权的基础上，还可以设置不同的访问级别，比如某一个用户可以只读数据，某一组用户只能更新数据，其它组不允许访问。

3.3 数据保护

除了上述步骤外，还可以根据用户要求对敏感数据进行加密，以增强数据安全性，虽然Hive on Tez的安全机制已经可以阻止非法用户访问数据，但这一步骤仍然非常有必要，只有数据安全性强，才能保证用户的隐私安全。

通过以上步骤，可以管理Hive on Tez中的用户访问权限，采取合理的安全机制，有效地保护Hive on Tez中的数据安全。