本章节主要说明如何在 ByteHouse 中执行访问控制,管理员如何新建角色、设置角色权限,以及通过赋予用户角色来配置访问控制策略。
说明
为了更好地说明,本文档以 管理员角色(AccountAdmin) 作为示例演示各项功能。
权限
在 ByteHouse 中可执行的所有操作都定义了相关权限。例如:查看帐户资源使用情况、创建新用户、从某个表查询数据或将大型数据集加载到 ByteHouse。
与特定资源相关的权限,如创建表(与数据库相关)、插入新数据(与表相关)和运行虚拟仓库(与仓库相关),都会绑定到特定的资源实例或对象。
其他权限,如创建数据库(注意:数据库是账户级资源)、查看计费状态或创建新服务用户,不会绑定到任何特定对象上。
角色
ByteHouse 中的权限控制是在角色级别执行的。每一位 ByteHouse 用户都可以获得一个或多个角色。
在 AccountAdmin 角色下,您可以点击顶部导航中的”权限管理-角色“页面,查看账户下所有可用角色。
角色说明
在使用 ByteHouse 时,您需要选择一个“ 角色 ”,该活跃角色拥有的权限将限制您的所有行为。
您可以从头像的下拉列表中选择其他“ 角色 ”,以进入与对应“ 角色 ”绑定的权限空间。根据权限空间设置的不同,您的 web 控制台界面和对应权限也会有所不同。
内置角色
在您注册 ByteHouse 后,系统即为您创建 2 种内置角色,每个角色都有一些预定义的权限
- 账户管理员 AccountAdmin 是ByteHouse账户的根角色。分配到此角色的用户拥有账户下的所有特权和权限。
- 系统管理员 SystemAdmin 是帐户管理员的直接子角色。拥有此角色的用户将拥有所有平台资源的权限,如数据库、表、虚拟仓库、在线工作表等。
以下是您首次以“帐户管理员”角色登录ByteHouse后,在“权限管理-角色”页面中可以看到的内容。
自定义角色
您可以在角色管理页面中单击“新建角色”来创建自定义角色。
权限设置
如上所述,ByteHouse 可以在角色级别授予权限。
在”权限管理-角色“页面,点击进入具体角色的详情页,我们可以分别给角色授予资源权限和数据权限。
角色授予
在”权限管理-角色“页面,进入角色详情页面,可以为用户分配角色。
例如在下图中点击”授予用户“,然后在下拉框中选择用户进行分配。
说明
在此处可以分配默认或自定义角色给对应的火山引擎IAM子用户。
选择后立即完成角色分配,我们可以在该角色的用户列表中看到刚才添加的角色。
回收角色
您可以在角色管理页点击角色名称,进入角色详情页,回收用户的角色分配。
在”已授予用户“页签,点击用户右边的撤销按钮并确认,来回收角色分配。