HBase安全模式配置：

1．安全访问配置

1）客户端安全访问

在每台服务器的hbase-site.xml配置文件中设置hbase.security.authentication、hbase.security.authorization、hbase.coprocessor.region.classes等属性来要求客户端必须通过Kerberos认证才能访问HBase。

配置修改之后必须关闭整个HBase集群再重新启动才能生效。

客户端也需要在hbase-site.xml中将hbase.security.authentication设置为kerberos才能访问集群，如果客户端和服务器端该参数配置不一致，它们之间将无法进行通信。

2）客户端简单访问控制

客户端简单访问控制并不能阻止黑客攻击，只是一种很方便的通过设置用户权限来进行访问控制的方法，可防止误操作。

在每台服务器的hbase-site.xml配置文件中设置hbase.security.authentication为simple，以及hbase.security.authorization、hbase.coprocessor.master.classes、hbase.coprocessor.region.classes、hbase.coprocessor.regionserver.classes等参数。

配置修改之后关闭整个HBase集群再重新启动让其生效。

客户端hbase-site.xml中也将hbase.security.authentication设置为simple。

2．数据访问权限控制

HBase中的数据访问权限分为以下5种彼此独立的级别：

Read（R）：读权限，可以读取指定范围内的数据。

Write（W)：写权限，可以在指定范围内写数据。

Execute（X）：执行权限，可以在指定范围内执行HBase协处理器终端程序。

Create（C）：创建权限，可以在指定范围内创建、删除表。

Admin（A)：管理权限，可以在指定范围内执行分配HRegion、平衡负载等集群操作。

权限的作用范围包含如下几种：

超级用户：可以对任意对象执行所有操作。

全局：允许在集群的所有表上执行操作。 

命名空间：允许在指定命名空间的所有表上执行操作。

表：允许在指定表的数据或元数据上执行操作。 

列族：允许在指定列族的单元上执行操作。

列：允许在指定列的单元上执行操作。

各种权限级别和作用范围组合在一起可以实现非常细粒度的权限控制。

在HBase Shell中可以通过grant命令来进行授权，其语法格式如下：

grant <user>, <permissions> [, <@namespace> | <table> [, <column family> [, <column qualifier>]]]

权限回收命令revoke格式和grant命令类似，只是少了第二个表示权限级别的参数，含义是回收该用户在指定范围内的所有权限。

注意revoke命令的作用范围参数必须和grant命令一致才能成功回收权限，否则不论给出的作用范围是更大还是更小都不会回收权限。