最近更新时间:2024.05.06 16:35:59
首次发布时间:2024.05.06 16:35:59
本文描述如何在 StarRocks(3x 版本)中管理用户、角色和权限。
StarRocks 同时采用了基于角色的访问控制 (RBAC) 和基于身份的访问控制 (IBAC) 以管理集群内的权限,使集群管理员可以轻松地在不同粒度级别上限制集群内的权限。
在 StarRocks 集群中,您可以将权限授予用户或角色。角色是一组权限,可根据需要授予集群内的用户或角色。一个用户或角色可以被授予一个或多个角色,这些角色决定了他们对不同对象的权限。
拥有系统预置角色 user_admin 的用户可以查看 StarRocks 集群中用户和角色的信息。
您可以使用 SHOW GRANTS 查看授予用户或角色的权限。
SHOW GRANTS;
说明
查看特定用户的权限。
以下示例查看用户 jack 的权限。
SHOW GRANTS FOR jack@'{客户端IP}';
查看特定角色的权限。
以下示例查看角色 example_role 的权限。
SHOW GRANTS FOR ROLE example_role;
您可以使用 SHOW PROPERTY 查看用户的属性。
以下示例查看用户 jack 的属性:
SHOW PROPERTY FOR jack@'{客户端IP}';
您可以使用 SHOW ROLES 查看 StarRocks 集群中的所有角色。
SHOW ROLES;
您可以使用 SHOW USERS 查看 StarRocks 集群中的所有用户。
SHOW USERS;
拥有系统预置角色 user_admin 的用户可以在 StarRocks 中创建、修改和删除用户。
您可以通过指定用户身份(user identity)、认证方式和默认角色来创建用户。
StarRocks 支持使用用户密码登录或 LDAP 认证作为用户认证方式。有关 StarRocks 认证方式的更多信息,请参阅 用户认证。有关创建用户的更多操作说明,请参阅 CREATE USER。
以下示例创建用户 jack,仅允许其从 IP 地址 {客户端IP} 进行连接,为其设置密码为 xxxxx,并将角色 example_role 分配给它作为其默认角色:
CREATE USER jack@'{客户端IP}' IDENTIFIED BY '{password}' DEFAULT ROLE 'example_role';
说明
PUBLIC 作为用户默认角色。您可以修改用户的密码、默认角色或属性。
当用户连接到 StarRocks 时,其默认角色会自动激活。有关如何在连接后为用户启用所有(默认和授予的)角色的说明,请参阅启用所有角色。
您可以使用 SET DEFAULT ROLE 或 ALTER USER 设置用户的默认角色。
以下两个示例都将 jack 的默认角色设置为 db1_admin。设置前需要确保 db1_admin 角色已经赋予给了 jack。
SET DEFAULT ROLE 'db1_admin' TO jack@'{客户端IP}';
ALTER USER jack@'{客户端IP}' DEFAULT ROLE 'db1_admin';
您可以使用 SET PROPERTY 设置用户的属性。
相同用户名的用户标识共享一个属性。在以下示例中,只需将属性配置给 jack,那么该属性配置会对所有含用户名 jack 的用户标识生效。
将用户 jack 的最大连接数设置为 1000:
SET PROPERTY FOR jack 'max_user_connections' = '1000';
您可以使用 SET PASSWORD 或 ALTER USER 为用户重置密码。
说明
root 用户的密码仅 root 用户自身可以重置。如果您丢失了密码并且无法连接到 StarRocks,请参阅 重置丢失的 root 密码。以下两个示例都将 jack 的密码重置为 54321:
SET PASSWORD FOR jack@'{客户端IP}' = PASSWORD('54321');
ALTER USER jack@'{客户端IP}' IDENTIFIED BY '54321';
如果您丢失了 root 用户的密码且无法连接到 StarRocks,您可以按照以下步骤重置密码:
enable_auth_check = false
./fe/bin/stop_fe.sh ./fe/bin/start_fe.sh
root 用户从 MySQL 客户端连接到 StarRocks。禁用用户认证时,无需密码即可登录。mysql -h <fe_ip_or_fqdn -P<fe_query_port -uroot
root 用户密码。SET PASSWORD for root = PASSWORD('xxxxxx');
enable_auth_check 设置为 true 以重新开启用户认证。enable_auth_check = true
./fe/bin/stop_fe.sh ./fe/bin/start_fe.sh
root 用户和新密码从 MySQL 客户端连接 StarRocks 以验证密码是否重置成功。mysql -h <fe_ip_or_fqdn -P<fe_query_port -uroot -p<xxxxxx
您可以使用 DROP USER 删除用户。
以下示例删除用户 jack:
DROP USER jack@'{客户端IP}';
拥有系统预置角色 user_admin 的用户可以在 StarRocks 中创建、授予、撤销和删除角色。
您可以使用 CREATE ROLE 创建角色。默认每个用户最多可以拥有 64 个角色,您也可以通过 FE 动态参数 privilege_max_total_roles_per_user 来根据需求调整这一限制。角色的嵌套关系最多为 16 层,您也可以通过 FE 动态参数 privilege_max_role_depth 来进行调整。
以下示例创建角色 example_role:
CREATE ROLE example_role;
您可以使用 GRANT 将角色授予用户或其他角色。
将角色授予用户。
以下示例将角色 example_role 授予用户 jack:
GRANT example_role TO USER jack@'{客户端IP}';
将角色授予其他角色。
以下示例将角色 example_role 授予角色 test_role:
GRANT example_role TO ROLE test_role;
您可以使用 REVOKE 将角色从用户或其他角色撤销。
说明
系统预置的默认角色 PUBLIC 无法撤销。
从用户撤销角色。
以下示例从用户 jack 撤销角色 example_role:
REVOKE example_role FROM USER jack@'{客户端IP}';
从角色撤销其他角色。
以下示例从角色 test_role 撤销角色 example_role:
REVOKE example_role FROM ROLE test_role;
您可以使用 DROP ROLE 删除角色。
以下示例删除角色 example_role:
DROP ROLE example_role;
注意
系统预置角色无法删除。
用户的默认角色是每次用户连接到 StarRocks 集群时自动激活的角色。授予给角色的权限仅在授予后生效。
如果您希望集群里所有的用户在登录时都默认激活所有角色(默认和授予的角色),可以执行如下操作。该操作需要 system 层的 OPERATE 权限。
执行以下语句为集群中用户启用所有角色:
SET GLOBAL activate_all_roles_on_login = TRUE;
您还可以通过 SET ROLE 来手动激活拥有的角色。例如用户 jack@'{客户端IP}' 拥有 db_admin 和 user_admin 角色,但此角色不是他的默认角色,因此在登录时不会被默认激活。当 jack@'{客户端IP}' 需要激活 db_admin和 user_admin 时,可以手动执行 SET ROLE db_admin, user_admin;。 注意 SET ROLE 命令是覆盖的,如果您希望激活拥有的所有角色,可以执行 SET ROLE ALL。
拥有系统预置角色 user_admin 的用户可以在 StarRocks 中授予和撤销权限。
您可以使用 GRANT 向用户或角色授予权限。
向用户授予权限。
以下示例将表 sr_member 的 SELECT 权限授予用户 jack,并允许 jack 将此权限授予其他用户或角色(通过在 SQL 中指定 WITH GRANT OPTION):
GRANT SELECT ON TABLE sr_member TO USER jack@'{客户端IP}' WITH GRANT OPTION;
向角色授予权限。
以下示例将表 sr_member 的 SELECT 权限授予角色 example_role:
GRANT SELECT ON TABLE sr_member TO ROLE example_role;
您可以使用 REVOKE 撤销用户或角色的权限。
撤销用户的权限。
以下示例撤销用户 jack 对表 sr_member 的 SELECT 权限,并禁止 jack 将此权限授予其他用户或角色:
REVOKE SELECT ON TABLE sr_member FROM USER jack@'{客户端IP}';
撤销角色的权限。
以下示例撤销角色 example_role 对表 sr_member 的 SELECT 权限:
REVOKE SELECT ON TABLE sr_member FROM ROLE example_role;