本章节主要说明如何在 ByteHouse 中执行访问控制,管理员如何新建用户、设置用户权限,以及通过赋予用户角色来配置访问控制策略。
说明
为了更好地说明,本文档以 管理员角色(AccountAdmin) 作为示例演示各项功能。
您可以在火山引擎的 访问控制-用户 页面中创建新用户,配置对控制台的访问权限,并初始化密码,例如“通过用户名创建”的方式如下所示。
在下一步的权限设置页面,主账户可以通过关联对应的 IAM 策略为创建的用户增加权限,实现细粒度的访问控制。
针对 ByteHouse 服务,可以为创建的用户配置最小权限 ByteHouse只读权限 ByteHouseReadOnlyAccess 。
若需给用户授予 ByteHouse 全部管理权限 ,则设置为 ByteHouseFullAccess 。
另外,也可以按需给用户设置其他 ByteHouse 云数仓 权限:
在”权限管理-用户“页面,我们可以查看当前用户列表。
点击需要管理的用户名,进入用户权限管理页面。
在“资源权限”和“数据权限”页签,我们可以分别按需给用户相应的权限。
同时,我们也可以在“授予的角色”页签,通过授予用户某个角色的方式,来令其继承角色的权限。关于角色的设置,请参考角色管理。
被授予的角色可以在“已授予角色”中查看,通过“撤销”按钮可以取消该用户的某个角色权限。
在”权限管理-用户“页面,我们可以通过每个用户右侧的”禁用“按钮来收回用户所有权限。
完成对IAM用户赋予角色和相应的权限后,可以通过控制台提供的IAM登录链接(如下图)登录该账号,并切换到对应角色对资源进行查看和操作,从而实现数据对象的细粒度权限控制。