今天宣布Apache Sentry成为新的Apache顶级开源项目。Sentry为Hadoop集群元数据和数据存储提供集中、细粒度的访问控制。在2013年8月Sentry成为Apache的孵化项目,经过两年半的开发,开发社区增长很快,很多组织为其贡献代码,现已有50多个贡献者,其中31个成为committer。
Sentry是什么?
Hadoop在文件系统层面有强安全策略,但缺乏对数据和BI应用细粒度的权限访问支持。这个问题使得Hadoop使用者面临两种抉择:要么暴露全部数据,要么控制所有数据。大部分情况下,用户选择后者,这严重约束Hadoop集群上数据的访问。Sentry提供角色级别的数据权限访问,可以进行细粒度权限划分。例如,在HIve和Impala中,Sentry的SQL权限控制select、insert等语句对服务器、数据库、数据表、视图甚至数据列的访问。
Sentry新功能
Sentry对不同的Hadoop组件提供了六类对权限访问策略管理:
Sentry支持多权限模型,也支持同一个权限控制策略对多哥计算框架和数据目录的访问; Sentry支持Apache Solr(搜索项目); Sentry支持SQL表权限和HDFS文件权限同步; Sentry支持数据管理的审计日志; Sentry支持高可用性(HA); Sentry支持不同集群间权限策略的导入和导出; Sentry支持Apache Kafka,Solr和Apache Sqoop。未来展望
成为Apache的顶级项目是一个里程碑阶段,但这也是Sentry的另一个起点。下一步,将会关注社区成长和培养Sentry周边项目的生态。
简化Sentry权限部署和管理; 扩展对成熟关系型数据库的权限控制支持; 支持下一代权限访问控制模型,基于属性的访问控制(ABAC),例如,对标签级别的控制; 整合对Hadoop其它生态组件对支持,让已存在的权限对其它组件也适用。