Cloudera CDH/CDP 및 Hadoop EcoSystem, Semantic IoT등의 개발/운영 기술을 정리합니다. gooper@gooper.com로 문의 주세요.

HDFS [Hadoop Encryption] Encryption Zone 생성/설정시 User:hadoop not allowed to do 'DECRYPT_EEK' ON 'testkey' 오류 발생 조치 사항

gooper 2023.06.28 14:26 조회 수 : 2397

1. 암호화 key 목록 확인

- sudo -u hdfs kinit -kt /var/lib/keytab/hdfs.keytab hdfs

- sudo -u hdfs hdfs crypto -listZones

--> /tmp/zone1 testkey

2. 암호화 zone생성

- sudo -u hdfs kinit -kt /var/lib/keytab/hdfs.keytab hdfs

- sudo -u hdfs hdfs dfs mkdir /tmp/zone1

- sudo -u hdfs hdfs dfs crypto -createZone -keyName testkey -path /tmp/zone1

3. hdfs dfs -copyFromLocal /home/hadoop/testfile.txt /tmp/zone1 수행시 발생할 수 있는 오류

- coyFromLocal: Permission denied: user=hadoop, access=WRITE, inode='/tmp/zone1/':hdfs:supergroup:drwxr-xr-x <- 이 경우는 Ranger->Hadoop SQL에서 Policy를 생성하고 url에 "hdfs://nameservice1/tmp/zone1"을 입력, Allow Conditions의 Select User에 hadoop을 입력, Permission에 "All"을 선택하고 저장해서 권한을 부여해준다. 또한 이곳에 테이블을 생성(impala 혹은 kudu)하여 CRUD하기 위해서 database에 test(db명이 test인 경우)를 선택하고 table, column에는 *을 입력한다. Allow Conditions의 Select User에 hadoop을 선택하고 Permissions에는 select, read, refresh를 선택하고 "save"를 클릭하여 권한을 부여해준다. hive table을 생성하는 경우는 Ranger->Service Manager->HDFS(cm_hdfs)에서 Policy를 등록해주고 Resource Path를 "/tmp/zone1"와 같이 등록및 Select User(예, hadoop), Permissions (예,CRUD권한, Read/Write/Execute)를 선택후 save해서 권한을 부여해 준다.

- copyFromLocal: User:hadoop not allowed to do 'DECRYPT_EEK' ON 'testkey' <- 이 경우는 아래와 같이 Ranger에서 관련 권한을 부여해야 함.

* Ranger에서 권한 설정(로그인 id : keyadmin로 로그인 해야 cm_kms정책이 보이며 수정할 수 있다, 아래의 설명은 testkey를 만들고 hadoop계정에 testkey에 대한 권한을 부여하는 경우임.)

1. Encryption -> Key Manager ->Select Service에서 cm_kms를 선택한다.

(이때, Error! Connection refused: Please check the KMS provider URL and whether the Ranger KMS is running오류가 발생하면 Service Manager -> KMS 우측 "수정" 버튼클릭 -> Config Properties에서 KMS URL을 변경해준다.

(Ranger KMS의 TLS가 비활성화된 경우 : kms://http@node01.gooper.com:9292/kms, Ranger KMS의 TLS가 활성화된 경우 : kms://https@node01.gooper.com:9494/kms )

)

1.1 "Add New Key"를 클릭한다. (필요시)

. Key Name : testkey

. Cipher : AES/CTR/NoPadding (default로 설정됨)

. Length : 128 혹은 256

1.2 "Save"를 눌러서 저장해준다.

2. Access Manager -> Service Manager에서 KMS중 cm_kms를 클릭한다.

3 Add New Policy를 클릭하여 새로운 kms정책을 만든다.

. Policy Name : policy_testkey

. Key Name : testkey

. Allow Conditions항목에서

Select User에 hadoop을 선택, Permission에 Get, Get Keys, Get Metadata,, Generate EEk, Decrypt EEK를 선택한다.

4. 저장(save)한다.

* 관리자 계정을 위한 cm_kms의 Policy Name이 all-keyname항목에는 다음과 같이 설정해줘야 한다.

- User : keyadmin -> Permissions : Create, Delete, Rollover, Set key Material, Get, Get Keys, Get Metadata, Generate EEK, Decrypt EEK

- User : hive -> Permissions : Get Metadata, Decrypt EEK

- User : hbase -> Permissions : Decrypt EEK

- User : hadoop, impala, hdfs -> Permissions : Get Metadata, Generate EEK, Decrlypt EEK <= 이항목은 관리를 위해서 추가적으로 부여되어야 함

이 게시물을

이 글의 추천인 목록 목록

번호	제목	날짜	조회 수
728	[CDP7.1.7]Encryption Zone내부/외부 간 데이터 이동(mv,cp)및 CTAS, INSERT SQL시 오류(can't be moved into an encryption zone, can't be moved from an encryption zone)	2023.11.14	2519
727	kudu table와 impala(hive) table정보가 틀어져서 테이블을 읽지 못하는 경우(Error Loading Metadata) 조치방법	2023.11.10	2324
726	임시 테이블에서 데이터를 읽어서 partitioned table에 입력하는 impala SQL문 예시	2023.11.10	2360
725	[EncryptionZone]User:hdfs not allowed to do 'DECRYPT_EEK on 'enc_key'오류	2023.11.02	2491
724	[Hadoop Encryption] Encryption Zone에 생성된 table에 Hue에서 insert 수행시 User:hdfs not allowed to do 'DECRYPT_EEK' ON 'testkey' 오류	2023.11.01	2403
723	[보안/인증]javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target발생 원인/조치내용	2023.10.24	2787
722	[CDP7.1.7]EncryptionZone에 table생성및 권한 테스트	2023.09.26	2492
721	[Oracle 11g]Kudu table의 meta정보를 담고 있는 table_params의 백업본을 이용하여 특정 컬럼값을 update하는 Oracle SQL문	2023.09.04	1299
720	[Impala jdbc]CDP7.1.7환경에서 java프로그램을 이용하여 kerberized impala cluster에 접근하여 SQL을 수행하는 방법	2023.08.22	1413
719	[Hue metadata]Oracle에 있는 Hue 메타정보 테이블을 이용하여 coordinator와 workflow관계 목록을 추출하는 방법	2023.08.22	851
718	[Hue admin]Add/Sync LDAP user, Sync LDAP users/groups 버튼 기능 설명	2023.08.09	2641
717	oozie의 sqoop action수행시 ooize:launcher의 applicationId를 이용하여 oozie:action의 applicationId및 관련 로그를 찾는 방법	2023.07.26	2566
716	[CDP7.1.6,HDFS]HDFS파일을 삭제하고 Trash비움이 완료된후에도 HDFS 공간을 차지하고 있는 경우 확인/조치 방법	2023.07.17	2622
715	[Encryption Zone]Encryption Zone에 생성된 table을 select할때 HDFS /tmp/zone1에 대한 권한이 없는 경우	2023.06.29	846
714	[EncryptionZone]User:testuser not allowed to do "DECRYPT_EEK" on 'testkey'	2023.06.29	837
713	[HDFS]Encryption Zone에 생성된 테이블 조회시 Failed to open HDFS file hdfs://nameservice1/tmp/zone1/sec_test_file.txt Error(255): Unknown error 255 Root cause: AuthorizationException: User:impala not allowd to do 'DECRYPT_EEK' on 'testkey'	2023.06.29	2249
»	[Hadoop Encryption] Encryption Zone 생성/설정시 User:hadoop not allowed to do 'DECRYPT_EEK' ON 'testkey' 오류 발생 조치 사항	2023.06.28	2397
711	[KTS Cluster의 Key Trustee Server]self-signed 인증서 발급및 설정 방법	2023.06.27	2399
710	[Ranger]RangerAdminRESTClient Error gertting pplicies; Received NULL response!!, secureMode=true, user=rangerkms/node01.gooper.com@ GOOPER.COM (auth:KERBEROS), serviceName=cm_kms	2023.06.27	1099
709	[CDP7.1.3]Ranger WebUI에서 Error! Connection refused: Please check the KMS provider URL and whether the Ranager KMS is running발생시 조치 방법	2023.06.07	2690

쓰기 태그

첫 페이지 1 2 3 4 5 6 7 8 9 10 끝 페이지

Cloudera, BigData, Semantic IoT, Hadoop, NoSQL

Cloudera CDH/CDP 및 Hadoop EcoSystem, Semantic IoT등의 개발/운영 기술을 정리합니다. gooper@gooper.com로 문의 주세요.

HDFS [Hadoop Encryption] Encryption Zone 생성/설정시 User:hadoop not allowed to do 'DECRYPT_EEK' ON 'testkey' 오류 발생 조치 사항

댓글 0

Cloudera, BigData, Semantic IoT, Hadoop, NoSQL

Cloudera CDH/CDP 및 Hadoop EcoSystem, Semantic IoT등의 개발/운영 기술을 정리합니다. gooper@gooper.com로 문의 주세요.

HDFS [Hadoop Encryption] Encryption Zone 생성/설정시 User:hadoop not allowed to do 'DECRYPT_EEK' ON 'testkey' 오류 발생 조치 사항

댓글 0

LOGIN