文档反馈
问问助手ByteHouse 云数仓版的权限管控模型主要为 RBAC 的权限管控模型,通过角色进行资源、数据的细粒度权限管控,本文为您介绍 ByteHouse 中角色管控能力,以及如何自定义建角色、完成角色权限授予与回收。
基本概念
术语 | 概念说明 |
|---|---|
权限 | 在 ByteHouse 中可执行的所有操作都定义了相关权限。例如:查看帐户资源使用情况、创建新用户、从某个表查询数据或将大型数据集加载到 ByteHouse。 |
角色 | ByteHouse 中的权限控制是在角色级别执行的。每一位 ByteHouse 用户都可以获得一个或多个角色。 |
更多关于 ByteHouse 的权限管控逻辑和概念介绍请参见ByteHouse权限管控概述。
内置角色与自定义角色
ByteHouse 为您提供了系统默认角色,您也可以根据业务需要创建自定义角色,对角色进行灵活的权限管控。
角色类型 | 权限说明 |
|---|---|
系统默认角色 |
|
自定义角色 | 在 ByteHouse 云数仓内部创建,可授予必要的 ByteHouse 云数仓资源和数据的权限到该角色。 |
在 AccountAdmin 角色下,您可以点击顶部导航中的”权限管理-角色“页面,查看账户下所有可用角色。
仅主账号或具有 AccountAdmin、SystemAdmin 角色且拥有 ByteHouse 控制台访问权限的子账号可在 ByteHouse 控制台进行创建角色、角色授权等操作。
如果您的业务团队组织比较复杂,内置角色无法满足权限管控需求,您可以根据业务团队实际情况,在角色管理页面中单击“新建角色”,为各个业务团队分别创建合适的自定义角色。
创建完成自定义角色后,您可以在”权限管理-角色“页面,点击进入具体角色的详情页,分别给角色授予资源权限和数据权限。
资源权限
资源权限细分 | 权限配置说明 |
|---|---|
新建数据库 | 打开开关后,角色即拥有创建数据库以及浏览所有数据库列表权限。 |
新建外部 Catalog | 打开开关后,角色即拥有创建、删除、查看外部 Catalog的权限。 |
数据加载管理 | 打开开关后,角色即拥有数据导入模块的所有功能权限,包括新建编辑和删除导入任务、新建编辑删除数据源。 |
知识库管理 | 打开开关后,角色即拥有创建、查看、管理知识库的权限。 |
计算组管理 | 自定义角色默认拥有计算组的VIEW权限,您可根据情况设置角色是否拥有计算组的USE、ALL权限,也持设置角色管控的计算组范围是某个计算组还是所有计算组。
|
全局审计日志 | 打开开关后,角色即拥有全局审计日志的查看权限,包含 SQL 历史、运行中的查询、权限审计、计算组审计、用户活动。拥有该角色的子用户可直接查看所有子用户的全局审计日志信息。 |
数据权限
支持设置全局、数据库、数据表、视图、物化视图、字典、外部 Catalog、UDF 的权限点。
数据权限细分 | 权限配置说明 |
|---|---|
全局 | 选择授予的权限点,授予全局权限后,该环境下的所有数据对象均会被授予所选权限点。 |
数据库 | 选择需授权的数据库,并授予数据库权限点。 |
数据表 | 选择需授权的数据库及下属的数据表,并授予数据表权限点。 |
视图 | 选择需授权的数据库及下属的视图,并授予视图权限点。 |
物化视图 | 选择需授权的数据库及下属的物化视图,并授予物化视图权限点。 |
字典 | 选择需授予的数据库及下属的字典,并授予字典权限点。 |
UDF | 选择需授予的 UDF 权限点。 |
外部 Catalog | 选择需授权的外部 Catalog,并授予对应的权限点。 |
完成角色权限设置后,您可以进入角色详情页面,点击”授予用户“,在下拉框中选择用户,将角色权限授权给指定用户。
说明
在此处可以分配默认或自定义角色给对应的火山引擎IAM子用户。
授权后,后续可以在该角色的已授予用户列表中看到角色已授权给哪些用户。
您可以在角色管理页点击角色名称,进入角色详情页,在”已授予用户“页签,点击用户右边的撤销按钮并确认,回收用户的角色分配。