Dataproc 没有与 Apache Ranger 和 Apache Sentry 的内置集成。那么Hive中推荐的用户授权方式是什么？

我是 Dataproc 的新手，您的回答真的很有帮助。

这是一个很好的问题。

作为一些背景，Cloud Dataproc(和其他云服务)的总体目标是在单个产品中实现安全性/IAM。在很多情况下，使用大量 Hive 的客户最终会切换到具有特定控件的 BigQuery。

在集群级别，您的集群将在服务帐户下运行，您可以使用 switch the service account 由您的集群使用。这意味着您可以限制集群访问服务帐户有权访问的事物 - GCS 存储桶等。这将特定集群限定为仅访问特定资源集。

在用户级别，您可以通过 Dataproc IAM roles 来控制对 Dataproc 的访问。但是，正如您所注意到的，当有人可以访问集群时，他们可以有效地利用集群可以访问的任何内容。

我们通常会看到客户创建一组项目和服务帐户来划分他们的安全需求。例如，客户可以创建三个项目，一个用于销售，一个用于营销，一个用于开发人员。所有这些帐户都设置了各种权限，因此，它们的 Cloud Dataproc 使用具有固有的范围。

话虽如此，这一直是长期改进的重点领域。

(免责声明 - 我是 Cloud Dataproc PM)