HDFS暗号化：ユーザー：hdfsが 'hdfskey'の 'DECRYPT_EEK'を許可していません

Question

HDP 2.4のレンジャーKMSでHDFS暗号化を設定しようとしています。

私はKMSサービスを展開して構成することができました。私はこのキーを操作するためにhdfsユーザーにすべての権限を与えるためのキーとアクセスポリシーを作成しました。私はディレクトリにファイルを置くしようとしたとき、私は

sudo -uhdfs hdfs mkdir /data_enc 
sudo -uhdfs hdfs crypto -createZone -keyName hdfskey -path /data_enc 

で暗号化されたゾーンを作成することができるよ

はしかし、私はこのエラーを取得する：

sudo -uhdfs hdfs dfs -put /tmp/file.txt /data_enc/ 
... 
    User:hdfs not allowed to do 'DECRYPT_EEK' on 'hdfskey' 

HDFSのユーザーはすべての権限を持っていますDECRYPT_EEKを含むこのキー用。誰が何がうまくいかないかも知っていますか？

Answer 1

hdfsレンジャーの復号化操作では、ユーザーはデフォルトでブラックリストに登録されています。
このブラックリストが、キーに与えられたDECRYPT_EEK権限を無効にする可能性があります。

hadoop.kms.blacklist.DECRYPT_EEKをレンジャーのAdvanced dbks-site Menuまたはdbks-site.xmlに編集します。