1.1Ranger Tag-based策略验证

在Ranger webui里给allan_admin和sam_sec用户赋权，给予添加classification的权限

使用allan_admin或者sam_sec用户登录Atlas console，并添加classification（tag）“PII”

下面需要在hive表中打tag，在此之前按照如下图所示在ranger webui给予allan_admin和sam_sec用户在hive表中打tag的权限，

然后在person1表中的name列打tag，选择classification为PII

返回hive表person1的元数据页面，选择“Lineage”tab选项出现血缘图谱

沿着血缘关系找到表person2，点击“person2”链接进入表person2的元数据页面

选择“relationship”tab选项，点击“name”列链接进入person2表的name列元数据页面

可以看到沿着血缘关系tag“PII”已经继承到了person2表的name列上，可以通过同样的方法验证id列上并没有该tag标记。

点击“cm_tag”repository链接，进入策略配置页面，点击“Add New Policy”按钮

策略中TAG填入之前创建的tag名称“PII”

在Allow Conditions中创建策略，用户选择sam_sec

此时，sam_sec拥有tag“PII”标记hive表数据的所有存取权限

以sam_sec用户登入beeline，验证权限，在此之前需要禁用之前为sam_sec创建的resource-based策略

可以看到sam_sec只能访问打了tag的列，如下图的hive表person1中的name列

以及hive表person2的name列