ByteHouse 云数仓版为您提供了灵活的权限管控能力，结合火山引擎访问控制（IAM）产品，可实现对子用户在产品级、环境级的权限管控。本文为您介绍 ByteHouse 云数仓版的权限管控能力。

在 ByteHouse 云数仓版上进行权限管控时，您需要先在访问控制上创建 IAM 子用户，对子用户授予产品的权限，再通过 ByteHouse 的角色权限管控授予细粒度的 ByteHouse 权限，如下图所示。

IAM 子用户与 IAM 权限策略

ByteHouse 的用户来源于火山引擎账号体系，即您需要先在火山引擎访问控制（IAM）中创建火山引擎 IAM 用户后，为该用户授予 ByteHouse 云数仓的 IAM 策略，此用户才能成为 ByteHouse 云数仓的用户。
IAM 支持的 ByteHouse 产品权限策略包括：

• ByteHouseFullAccess：有 Bytehouse 的所有操作权限（不包括退订）。
• ByteHouseReadOnlyAccess：可以访问 ByteHouse 控制台，进入ByteHouse控制台后，可查看计算组页面，但无法查看数据库、数据表等资源和数据。此类权限的IAM用户需要后续通过ByteHouse控制台进行细粒度的权限管控，授予 资源权限 和 数据权限，才可访问具体库表信息。

ByteHouse RABC 权限模型

在 ByteHouse 控制台上进行细粒度权限管控时，首先可对 ByteHouse 的环境授权，在各个环境中的资源权限、数据权限，可通过用户角色来管控，即 ByteHouse 环境内的细粒度权限模型为 RABC 权限模型。

角色

ByteHouse 为您提供了系统默认角色，您也可以根据业务需要创建自定义角色，对角色进行灵活的权限管控。

权限点

不管使用者是谁，进行权限管控的原则都是「最小权限分配」原则：只分配该用户活动需要的必要权限。

• 通用操作指引：用户管理、角色管理、数据权限管理、资源权限管理。
• 最佳最佳实践：权限管控最佳实践。