You need to enable JavaScript to run this app.
导航
ByteHouse云数仓版
  • 文档首页
    • /ByteHouse云数仓版/用户指南/用户与权限管理/用户管理/管理 IAM 用户
管理 IAM 用户
最近更新时间:2025.11.04 11:14:10首次发布时间:2021.10.22 10:06:12
复制全文
我的收藏
有用
有用
无用
无用

本章节主要说明如何在 ByteHouse 中执行访问控制,如何使用火山引擎主账号新建用户、设置用户权限,以及通过赋予用户角色来配置访问控制策略。

前提条件

需使用火山引擎主账号,管理 IAM 用户的新增/编辑/禁用/授权等操作。

注意事项

开通 ByteHouse 云数仓版后,您可以使用火山引擎主账号登录火山引擎控制台,根据业务需要创建多个子用户,遵循权限最小原则为不同子用户授予对应人员所需的最小权限。

  • 主账号拥有火山引擎全部产品的全部操作权限,在 ByteHouse 产品中,主账号即等同于 ByteHouse 的 AccountAdmin 角色的权限。
  • 创建 ByteHouse 的子用户需前往火山引擎的访问控制页面,创建 IAM 用户并授予 IAM 中 ByteHouse 产品相关权限策略,ByteHouse 为您预置了两种 IAM 权限策略,也支持您自定义权限策略。
    • ByteHouseFullAccess:有 Bytehouse 的所有操作权限(不包括退订),即等同于 ByteHouse 的 SystemAdmin 角色权限。
    • ByteHouseReadOnlyAccess:可以访问 ByteHouse 控制台,进入 ByteHouse 控制台后,可查看计算组页面,但无法查看数据库、数据表等资源和数据。此类权限的 IAM 用户需要后续通过 ByteHouse 控制台进行细粒度的权限管控,授予资源权限数据权限,才可访问具体库表信息。
    • 自定义权限策略:您可根据需求,创建自定义策略,为 IAM 用户授予 ByteHouse AccountAdmin 或 SystemAdmin 角色的权限,支持精细化定义权限。
  • 建议由管理员维护主账号、ByteHouseFullAccess 权限、自定义权限策略的子账号,后续仅主账号、ByteHouseFullAccess 权限、或其他具有 AccountAdmin 或 SystemAdmin 角色的子账号可在 ByteHouse 控制台对用户进行资源、数据的权限管控操作。

准备工作:

(可选)创建自定义权限策略

您可以在火山引擎的访问控制-权限策略页面创建自定义策略,并通过配置策略 Action,配置该策略的权限细项。

  1. 访问火山引擎的访问控制-权限策略页面,单击新建自定义策略
    Image

  2. 填写策略名称,并使用 JSON 编辑器定义策略的 Action。
    Image
    您可参考以下代码示例按需填写 Action:

    {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "bytehouse:AccountAdmin",
        "bytehouse:Read",
        "bytehouse:Update",
        "bytehouse:Delete",
        "bytehouse:Create"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

    参数说明

    参数

    配置说明

    bytehouse:AccountAdmin

    该参数用于设置用户的角色,支持设置为 AccountAdmin、SystemAdmin 或 ** 表示拥有最高权限,即 AccountAdmin。

    bytehouse:Read

    该参数控制用户是否拥有登录控制台的权限。如果用户需要登录控制台,则需要配置该权限。

    bytehouse:Update

    使用当前值,无需配置。

    bytehouse:Delete

    使用当前值,无需配置。

    bytehouse:Create

    使用当前值,无需配置。

创建 IAM 用户

您可以在火山引擎的访问控制-用户页面中创建新用户,配置对控制台的访问权限,并初始化密码,例如“通过用户名创建”的流程如下所示。
Image
在第 2 步的权限设置页面,主账户可以通过关联对应的 IAM 策略为创建的用户增加权限,实现细粒度的访问控制。
Image
针对 ByteHouse 服务,您可以配置以下权限:

  • ByteHouseReadOnlyAccess:最小权限,ByteHouse 只读权限
  • ByteHouseFullAccess:为用户授予 ByteHouse 全部管理权限。注意, ByteHouseFullAccess 为 ByteHouse 的最大权限,授予此权限的用户即等同于拥有 ByteHouse 的 SystemAdmin 角色权限,建议谨慎使用。
  • 自定义权限策略:该策略对应的权限由您创建策略时授予的角色决定。
  • 授予权限时,限制到项目资源选项请务必选择全局

权限授予

通常完成 IAM 用户创建、火山引擎主账号给 IAM 用户完成 IAM 权限策略授权后,对于仅拥有 ByteHouseReadOnlyAccess 权限的 IAM 用户,主账号还需前往 ByteHouse 控制台,对该用户进行资源、数据的细节权限的授权操作。
已拥有 ByteHouse SystemAdmin 角色权限的用户,也可在其他权限较低的 IAM 用户创建完成后,在 ByteHouse 中为对应用户授予权限。

说明

在 ByteHouse 控制台进行授权时,支持直接对 IAM 用户进行授权,也支持先创建用户角色,为角色授权,再将角色权限授予给用户。以下为您介绍直接对 IAM 用户授权的操作说明,通过角色进行授权的操作请参见角色管理

  1. 登录并进入 ByteHouse 控制台后,在”权限管理-用户“页面,查看当前用户列表。
    Image
  2. 单击需要管理的用户名,进入用户权限管理页面。
    Image
  3. 在“资源权限”和“数据权限”页签,我们可以分别按需给用户相应的权限。
    • 资源权限
      Image
    • 数据权限
      Image
    • 同时,我们也可以在“授予的角色”页签,通过授予用户某个角色的方式,来令其继承角色的权限。关于角色的设置,请参考角色管理
      Image
      被授予的角色可以在“已授予角色”中查看,通过“撤销”按钮可以取消该用户的某个角色权限。
      Image

编辑用户

调整用户参数设置

  1. 在用户列表中,单击用户名对应操作列的参数设置按钮。
    Image
  2. 在弹窗中,选择默认计算组。
    Image

    说明

    为用户赋予计算组后,会同时赋予用户该计算组的 USE 权限,您可在资源权限模块修改,详情请参见资源权限管理

  3. 单击确定修改,完成参数设置。

禁用用户

在”权限管理-用户“页面,我们可以通过每个用户右侧的”禁用“按钮来收回用户所有权限。
Image

IAM 用户登录

完成对 IAM 用户赋予角色和相应的权限后,可以通过控制台提供的 IAM 登录链接(如下图)登录该账号,并切换到对应角色对资源进行查看和操作,从而实现数据对象的细粒度权限控制。
Image
Image

相关文档