ByteHouse 支持用户自定义角色,为角色授予权限,并将角色授予用户。本文介绍了如何创建角色以及如何管理角色和用户的权限。
ByteHouse 默认创建了 4 个角色:Query User、Data Engineer、Cluster Admin、System Admin。不同角色的权限不同,在控制台可查看的页面也不同,角色定义及权限详情请参见默认角色与自定义角色。
仅具有 SystemAdmin 角色的用户才可执行角色管理。ByteHouse 定义了多种用户类型,详情请参见用户类型。
登录 ByteHouse 控制台,单击顶部权限管理页签,在左侧导航栏单击角色,即可查看角色列表。
如下展示了角色列表中部分参数信息:
参数项 | 参数说明 |
|---|---|
角色名 | 角色名在集群内唯一,单击角色名可查看角色详情。 |
集群 | 角色所在的集群和权限范围。创建角色时授予,创建后不可修改。 |
角色类型 |
|
已授权用户 | 该角色已授权给用户使用,可将鼠标悬停在显示信息上查看已授权的用户名。 |
登录 ByteHouse 控制台,单击顶部权限管理页签,在左侧导航栏单击角色,单击创建新角色。
在弹窗中输入或选择以下信息:
参数项
参数说明
权限范围
选择角色适用的集群。
角色名
自定义角色名称。同一集群中的角色名称不可重复。命名规则如下:
- 仅支持字符串或数字组合,包含下划线。
- 最长支持 128 个字符。
描述
您可自定义角色描述,便于后期管理和使用。
单击确定。角色创建完成后,请按照系统提示,为角色授予库表权限。
注意事项
ByteHouse 默认创建的角色无法增加授权。如果某用户是 Query User,但您希望给该用户叠加权限,可以给该用户赋予其他角色,角色的权限会叠加。
授予权限
- 在角色列表中,单击角色名称,进入角色详情界面。
- 单击库表权限页签,单击授予。
- 在弹窗中选择赋予的数据类型,并选择对应的数据资源。如需添加多个数据资源,可单击添加。
注意
当用户具备某一库表的任意一项其他权限时,将自动被授予 SHOW 权限。
- 授权信息填写完成后,单击确认。
撤销权限
- 在角色列表中,单击角色名称,进入角色详情界面。
- 单击库表权限页签,单击撤销。
- 在弹窗中选择需撤销的数据类型,并选择对应的数据资源。如需撤销多个数据资源,可单击添加。
- 撤销授权信息填写完成后,单击确认。
重新授予已撤销的权限
如果您为角色赋予了整个数据库的权限后,撤销了单表权限,ByteHouse 将在库表权限界面展示已撤销的表权限,您可单击该表所在行的删除按钮,重新赋予已撤销的表权限。
注意事项
请注意仅支持为子用户授权,无法为系统用户、主用户无法授权。
授予权限
可通过以下两种方式为用户赋予角色权限:
方式 1:通过角色界面授权
- 在角色列表中,单击角色名称,进入角色详情界面。
- 单击已授予用户页签,单击授予用户。
- 在弹窗中选择授权的用户,调整 Admin Option 选项。Admin Option 权限是指是否允许用户将被授予的权限授予其他用户。
如需同时为多个用户授予角色权限,可单击添加,继续添加用户。 - 单击确认,完成授予。
方式 2:通过用户界面授权
- 在权限管理页面,单击侧边栏的用户页签,查看用户列表,单击需授权的用户名,进入用户的权限详情页面。
- 在授予角色模块,单击编辑。
- 选择授予权限的范围、授予的角色,并调整 Admin Option 选项。Admin Option 权限是指是否允许用户将被授予的权限授予其他用户。
- 单击提交。
撤销权限
- 在权限管理页面,单击侧边栏的角色页签,在角色列表中,单击角色名称,进入角色详情界面。
- 在已授予用户列表中,在需要撤销的用户行,单击操作列的撤销按钮。
- 单击撤销,撤销当前用户的角色授权。
使用限制
- 已经被赋予用户的角色无法删除,请先撤销角色已授权的用户,操作详见撤销权限。
- ByteHouse 默认创建的角色无法删除。
操作步骤
- 在角色列表中,在需要删除的角色行,单击操作列的删除按钮。
- 单击确定,删除当前角色。