【hive-解决】HiveAccessControlException Permission denied: CREATEFUNCTION

一.任务描述

 Error while compiling statement: FAILED:  HiveAccessControlException Permission denied: Principal [name=root, type=USER] does not have following privileges for operation 
 CREATEFUNCTION [ADMIN PRIVILEGE on INPUT, ADMIN PRIVILEGE on 
 OUTPUT]
1
2
3

问题表象：使用root用户通过hive创建udf函数时报没有admin的权限。

相关配置：

设置成false则，yarn作业获取到的hiveserver2用户都为hive用户。
设置成true则为实际的用户名

  <property>
     <name>hive.server2.enable.doAsname>
     <value>falsevalue>
  property>

  <property>
	<name>hive.users.in.admin.rolename>               
	<value>taiyivalue>
  property>
1
2
3
4
5
6
7
8
9
10
11
12

看到设置了hive.users.in.admin.role=taiyi，但执行时却报没有admin权限。。。那admin权限如何正确的设置和使用呢？

 

二. 解决

hive官网描述了关于SQL Standard Based Hive Authorization，即hive对执行sql时的鉴权。

https://cwiki.apache.org/confluence/display/Hive/SQL+Standard+Based+Hive+Authorization#SQLStandardBasedHiveAuthorization-Troubleshooting

The SQL standards based authorization option (introduced in Hive 0.13) provides a third option for authorization in Hive. This is recommended because it allows Hive to be fully SQL compliant in its authorization model without causing backward compatibility issues for current users. As users migrate to this more secure model, the current default authorization could be deprecated.

hive对标准sql鉴权提供了新的鉴权选择。且这种方式不会出现向后兼容的问题。当用户设置了此安全模型，默认的鉴权将会被弃用。

看下官网如何配置的admin权限

For Hive 0.14 and Newer

这里我们只关注前两项，其中第二项：hive.users.in.admin.role 描述了，此值生效之后，属于admin角色的用户在获得admin角色的权限之前需要执行“set role”命令，因为默认情况下该角色不在当前角色中。

 
这里大概知道了是因为没有执行：set role admin; 导致admin角色用户没有生效。

进入hive终端之后，执行set role admin; ，再执行udf的创建:

set role admin;

create temporary function ip_get as 'xxx.xxx.IpRegionUdf'
using
jar 'hdfs://namenode:9000/home/user/etl-hive-functions-1.0.jar';
1
2
3
4
5

 
官网的Troubleshooting也描述了此问题

至此解决；
https://cwiki.apache.org/confluence/display/Hive/SQL+Standard+Based+Hive+Authorization