用户与角色管理

本章节主要说明如何在 ByteHouse 中执行访问控制，以及管理员如何在用户管理、对象访问控制和网络安全方面配置访问控制策略。

用户管理

创建 IAM 用户

您可以在火山引擎的 访问控制-用户 页面中创建新用户，配置对控制台的访问权限，并初始化密码，例如“通过用户名创建”的方式如下所示。

在下一步的权限设置页面，主账户可以通过关联对应的 IAM 策略为创建的用户增加权限，实现细粒度的访问控制。
针对 ByteHouse 服务，可以为创建的用户配置最小权限 ByteHouse只读权限 ByteHouseReadOnlyAccess 。
若需给用户授予 ByteHouse 全部管理权限 ，则设置为 ByteHouseFullAccess 。

IAM用户登录

完成对IAM用户赋予角色和相应的权限后，可以通过控制台提供的IAM登录链接（如下图）登录该账号，并切换到对应角色对资源进行查看和操作，从而实现数据对象的细粒度权限控制。

基于角色的对象级访问控制

权限

在 ByteHouse 中可执行的所有操作都定义了相关权限。例如：查看帐户资源使用情况、创建新用户、从某个表查询数据或将大型数据集加载到 ByteHouse。
与特定资源相关的权限，如创建表（与数据库相关）、插入新数据（与表相关）和运行虚拟仓库（与仓库相关），都会绑定到特定的资源实例或对象。
其他权限，如创建数据库（注意：数据库是账户级资源）、查看计费状态或创建新服务用户，不会绑定到任何特定对象上。

角色

ByteHouse 中的权限控制是在角色级别执行的。每一位 ByteHouse 用户都可以获得一个或多个角色。在 AccountAdmin角色下，您可以点击顶部导航中的”角色“页面，查看账户下所有可用角色。

角色说明

在使用 ByteHouse 时，您需要选择一个“ 角色 ”，该活跃角色拥有的权限将限制您的所有行为。
您可以从头像的下拉列表中选择其他“ 角色 ”，以进入与对应“ 角色 ”绑定的权限空间。根据权限空间设置的不同，您的 web 控制台界面和对应权限也会有所不同。

默认情况下，由星号标记“*”表示的“ 公共角色 ”将分配给帐户下的所有用户。此公共角色也是创建新用户后的“ 默认角色 ”。

内置角色

在您注册 ByteHouse 后，系统即为您创建6种内置角色，每个角色都有一些预定义的权限

• 账户管理员 是ByteHouse账户的根角色。分配到此角色的用户拥有账户下的所有特权和权限。
• 系统管理员 是帐户管理员的直接子角色。拥有此角色的用户将拥有所有平台资源的权限，如数据库、表、虚拟仓库、在线工作表等。
• 公共角色 ，如前述，在ByteHouse中以星号“ * ”表示。这是ByteHouse帐户中特权最少的角色。向此角色授予权限与向此帐户中的所有角色授予相同权限具有相同的效果。

以下是您首次以“帐户管理员”角色登录ByteHouse后，在“用户管理-角色”页面中可以看到的内容。

自定义角色

您可以在角色管理页面中单击“新建角色”来创建自定义角色，并对该角色赋予对应的操作数据对象的权限。

权限授予

如上所述，ByteHouse 可以在角色级别授予权限。

资源创建权限

您可以从角色管理页授予或撤销非对象级权限。目前，只有4种资源创建可以直接在创建角色或者编辑权限时开放授权，如下图所示。

分配角色

您可以在角色管理页为用户分配角色。您可以在如下所示的角色详细信息页中搜索用户名，然后单击用户名旁边的“+”号进行分配。