在 Hadoop 3 中，访问控制列表 (ACL) 是一种权限管理机制，用于更细粒度地控制用户对 HDFS（Hadoop Distributed File System）文件和目录的访问权限。ACL 允许你为文件和目录指定传统 Unix 权限模型之外的用户和组权限。

以下是 Hadoop 3 中 ACL 权限的详细介绍：

ACL 基本概念

• ACL Entry (ACL 条目)：每个 ACL 包含一个或多个条目，每个条目指定一个用户或组及其权限。
• ACL 类型：
  • Access ACL：控制对文件和目录的访问权限。
  • Default ACL：仅适用于目录，用于控制目录下新创建文件和子目录的默认权限。

ACL 语法

ACL 条目具有以下格式：

[ACL类型]:[用户或组]:[用户名或组名]:[权限]

• ACL类型：可选，表示条目是 Access ACL 还是 Default ACL。省略时默认为 Access ACL。
• 用户或组：user 或 group。
• 用户名或组名：具体的用户名或组名。
• 权限：可包含以下字符的组合：
  • r：读权限。
  • w：写权限。
  • x：执行权限。

示例

假设我们有一个目录 /data，我们想设置 ACL 来控制对该目录的访问权限。

1. 查看当前 ACL

使用 getfacl 命令查看当前 ACL：

hdfs dfs -getfacl /data

2. 设置 ACL

使用 setfacl 命令设置 ACL。例如，设置用户 alice 对目录 /data 具有读写执行权限：

hdfs dfs -setfacl -m user:alice:rwx /data

3. 设置默认 ACL

设置目录 /data 的默认 ACL，这样该目录下新创建的文件和子目录将继承这些权限：

hdfs dfs -setfacl -dm user:bob:rx /data

4. 删除 ACL 条目

使用 -x 选项删除特定的 ACL 条目。例如，删除用户 alice 的 ACL 条目：

hdfs dfs -setfacl -x user:alice /data

5. 删除所有 ACL 条目

使用 -b 选项删除所有 ACL 条目，保留基本的文件权限：

hdfs dfs -setfacl -b /data

6. 删除默认 ACL 条目

使用 -k 选项删除所有默认 ACL 条目：

hdfs dfs -setfacl -k /data

完整示例

以下是一个设置和管理 ACL 的完整示例：

1. 创建一个目录并查看其默认 ACL：

   hdfs dfs -mkdir /data hdfs dfs -getfacl /data

2. 添加用户 alice 和组 admins 的 ACL 条目：

   hdfs dfs -setfacl -m user:alice:rwx,group:admins:r-x /data hdfs dfs -getfacl /data

3. 设置目录的默认 ACL：

   hdfs dfs -setfacl -dm user:alice:rwx,group:admins:r-x /data hdfs dfs -getfacl /data

4. 删除用户 alice 的 ACL 条目：

   hdfs dfs -setfacl -x user:alice /data hdfs dfs -getfacl /data

5. 删除所有 ACL 条目：

   hdfs dfs -setfacl -b /data hdfs dfs -getfacl /data

通过以上操作，用户可以在 Hadoop 3 中更细粒度地管理 HDFS 文件和目录的权限，从而实现更加灵活和安全的访问控制。