角色管理

本章节主要说明如何在 ByteHouse 中执行访问控制，管理员如何新建角色、设置角色权限，以及通过赋予用户角色来配置访问控制策略。

权限

在 ByteHouse 中可执行的所有操作都定义了相关权限。例如：查看帐户资源使用情况、创建新用户、从某个表查询数据或将大型数据集加载到 ByteHouse。
与特定资源相关的权限，如创建表（与数据库相关）、插入新数据（与表相关）和运行虚拟仓库（与仓库相关），都会绑定到特定的资源实例或对象。
其他权限，如创建数据库（注意：数据库是账户级资源）、查看计费状态或创建新服务用户，不会绑定到任何特定对象上。

角色

ByteHouse 中的权限控制是在角色级别执行的。每一位 ByteHouse 用户都可以获得一个或多个角色。
在 AccountAdmin角色下，您可以点击顶部导航中的”权限管理-角色“页面，查看账户下所有可用角色。

角色说明

在使用 ByteHouse 时，您需要选择一个“ 角色 ”，该活跃角色拥有的权限将限制您的所有行为。
您可以从头像的下拉列表中选择其他“ 角色 ”，以进入与对应“ 角色 ”绑定的权限空间。根据权限空间设置的不同，您的 web 控制台界面和对应权限也会有所不同。

默认情况下，由星号标记“*”表示的“ 公共角色 ”将分配给帐户下的所有用户。此公共角色也是创建新用户后的“ 默认角色 ”。

内置角色

在您注册 ByteHouse 后，系统即为您创建6种内置角色，每个角色都有一些预定义的权限

• 账户管理员 是ByteHouse账户的根角色。分配到此角色的用户拥有账户下的所有特权和权限。
• 系统管理员 是帐户管理员的直接子角色。拥有此角色的用户将拥有所有平台资源的权限，如数据库、表、虚拟仓库、在线工作表等。
• 公共角色 ，如前述，在ByteHouse中以星号“ * ”表示。这是ByteHouse帐户中特权最少的角色。向此角色授予权限与向此帐户中的所有角色授予相同权限具有相同的效果。

以下是您首次以“帐户管理员”角色登录ByteHouse后，在“权限管理-角色”页面中可以看到的内容。

自定义角色

您可以在角色管理页面中单击“新建角色”来创建自定义角色。

权限设置

如上所述，ByteHouse 可以在角色级别授予权限。
在”权限管理-角色“页面，点击进入具体角色的详情页，我们可以分别给角色授予资源权限和数据权限。

角色授予

在”权限管理-角色“页面，进入角色详情页面，可以为用户分配角色。
例如在下图中点击”授予用户“，然后在下拉框中选择用户进行分配。

选择后立即完成角色分配，我们可以在该角色的用户列表中看到刚才添加的角色。

回收角色

您可以在角色管理页点击角色名称，进入角色详情页，回收用户的角色分配。
在”已授予用户“页签，点击用户右边的撤销按钮并确认，来回收角色分配。