ByteHouse 云数仓版的权限管控模型主要为RBAC的权限管控模型,通过角色进行资源、数据的细粒度权限管控,本文为您介绍 ByteHouse 中角色管控能力,以及如何自定义建角色、完成角色权限授予与回收。
基本概念
术语 | 概念说明 |
|---|---|
权限 | 在 ByteHouse 中可执行的所有操作都定义了相关权限。例如:查看帐户资源使用情况、创建新用户、从某个表查询数据或将大型数据集加载到 ByteHouse。 |
角色 | ByteHouse 中的权限控制是在角色级别执行的。每一位 ByteHouse 用户都可以获得一个或多个角色。 |
更多关于ByteHouse的权限管控逻辑和概念介绍请参见ByteHouse权限管控概述。
内置角色与自定义角色
ByteHouse 为您提供了系统默认角色,您也可以根据业务需要创建自定义角色,对角色进行灵活的权限管控。
角色类型 | 权限说明 |
|---|---|
系统默认角色 |
|
自定义角色 | 在 ByteHouse 云数仓内部创建,可授予必要的 ByteHouse 云数仓资源和数据的权限到该角色。 |
在 AccountAdmin 角色下,您可以点击顶部导航中的”权限管理-角色“页面,查看账户下所有可用角色。
仅主账号或ByteHouseFullAccess权限的子账号(即仅AccountAdmin、SystemAdmin)可在ByteHouse控制台进行创建角色、角色授权等操作。
如果您的业务团队组织比较复杂,内置角色无法满足权限管控需求,您可以根据业务团队实际情况,在角色管理页面中单击“新建角色”,为各个业务团队分别创建合适的自定义角色。
创建完成自定义角色后,您可以在”权限管理-角色“页面,点击进入具体角色的详情页,分别给角色授予资源权限和数据权限。
资源权限
资源权限细分 | 权限配置说明 |
|---|---|
新建数据库 | 打开开关后,角色即拥有创建数据库以及浏览所有数据库列表权限。 |
数据加载管理 | 打开开关后,角色即拥有数据导入模块的所有功能权限,包括新建编辑和删除导入任务、新建编辑删除数据源。 |
计算组管理 | 自定义角色默认拥有计算组的VIEW权限,您可根据情况设置角色是否拥有计算组的USE、ALL权限,也持设置角色管控的计算组范围是某个计算组还是所有计算组。
|
数据权限
支持设置数据库、数据表、视图、物化视图、字典的权限点。
完成角色权限设置后,您可以进入角色详情页面,点击”授予用户“,在下拉框中选择用户,将角色权限授权给指定用户。
说明
在此处可以分配默认或自定义角色给对应的火山引擎IAM子用户。
授权后,后续可以在该角色的已授予用户列表中看到角色已授权给哪些用户。
您可以在角色管理页点击角色名称,进入角色详情页,在”已授予用户“页签,点击用户右边的撤销按钮并确认,回收用户的角色分配。