一.任务描述

 Error while compiling statement: FAILED:  HiveAccessControlException Permission denied: Principal [name=root, type=USER] does not have following privileges for operation 
 CREATEFUNCTION [ADMIN PRIVILEGE on INPUT, ADMIN PRIVILEGE on 
 OUTPUT]

问题表象：使用root用户通过hive创建udf函数时报没有admin的权限。

相关配置：

设置成false则，yarn作业获取到的hiveserver2用户都为hive用户。
设置成true则为实际的用户名

  <property>
     <name>hive.server2.enable.doAs</name>
     <value>false</value>
  </property>

  <property>
	<name>hive.users.in.admin.role</name>               
	<value>taiyi</value>
  </property>

看到设置了hive.users.in.admin.role=taiyi，但执行时却报没有admin权限。。。那admin权限如何正确的设置和使用呢？

二. 解决

hive官网描述了关于SQL Standard Based Hive Authorization，即hive对执行sql时的鉴权。

https://cwiki.apache.org/confluence/display/Hive/SQL+Standard+Based+Hive+Authorization#SQLStandardBasedHiveAuthorization-Troubleshooting

hive对标准sql鉴权提供了新的鉴权选择。且这种方式不会出现向后兼容的问题。当用户设置了此安全模型，默认的鉴权将会被弃用。

看下官网如何配置的admin权限

For Hive 0.14 and Newer

这里我们只关注前两项，其中第二项：hive.users.in.admin.role 描述了，此值生效之后，属于admin角色的用户在获得admin角色的权限之前需要执行“set role”命令，因为默认情况下该角色不在当前角色中。

 
这里大概知道了是因为没有执行：set role admin; 导致admin角色用户没有生效。

进入hive终端之后，执行set role admin; ，再执行udf的创建:

set role admin;

create temporary function ip_get as 'xxx.xxx.IpRegionUdf'
using
jar 'hdfs://namenode:9000/home/user/etl-hive-functions-1.0.jar';

 
官网的Troubleshooting也描述了此问题

至此解决；
https://cwiki.apache.org/confluence/display/Hive/SQL+Standard+Based+Hive+Authorization