本章节主要说明如何在 ByteHouse 中执行访问控制,管理员如何新建用户、设置用户权限,以及通过赋予用户角色来配置访问控制策略。
开通ByteHouse 云数仓版后,您可以使用主账号登录火山引擎控制台,根据业务需要创建多个子用户,遵循权限最小原则为不同子用户授予对应人员所需的最小权限。
- 主账号拥有火山引擎全部产品的全部操作权限,在ByteHouse产品中,主账号即等同于ByteHouse的AccountAdmin角色的权限。
- 创建ByteHouse的子用户需前往火山引擎的访问控制页面,创建IAM用户并授予IAM中ByteHouse产品相关权限策略,ByteHouse为您预置了两种IAM权限策略。
- ByteHouseFullAccess:有 Bytehouse 的所有操作权限(不包括退订),即等同于ByteHouse的SystemAdmin角色权限。
- ByteHouseReadOnlyAccess:可以访问 ByteHouse 控制台,进入ByteHouse控制台后,可查看计算组页面,但无法查看数据库、数据表等资源和数据。此类权限的IAM用户需要后续通过ByteHouse控制台进行细粒度的权限管控,授予 资源权限 和 数据权限,才可访问具体库表信息。
- 建议由管理员维护主账号和ByteHouseFullAccess权限的子账号,后续仅主账号或ByteHouseFullAccess权限的子账号可在ByteHouse控制台对用户进行资源、数据的权限管控操作。
您可以在火山引擎的 访问控制-用户 页面中创建新用户,配置对控制台的访问权限,并初始化密码,例如“通过用户名创建”的方式如下所示。
在下一步的权限设置页面,主账户可以通过关联对应的 IAM 策略为创建的用户增加权限,实现细粒度的访问控制。
针对 ByteHouse 服务,可以:
- 为创建的用户配置最小权限 ByteHouse只读权限 ByteHouseReadOnlyAccess 。
- 若需给用户授予 ByteHouse 全部管理权限 ,则设置为 ByteHouseFullAccess 。注意, ByteHouseFullAccess 为ByteHouse的最大权限,授予此权限的用户即等同于拥有ByteHouse的SystemAdmin角色权限,建议谨慎使用。
说明
ByteHouse还预置了以下数据库、计算组等相关的权限管控策略,但是不建议您使用,如果需要对ByteHouse进行数据库、资源等细节权限管控,建议您给用户授予ByteHouseReadOnlyAccess权限后,前往ByteHouse控制台进行授权操作。
- ByteHouseDatabaseOperatorAccess:创建数据库的权限;
- ByteHouseVirtualWarehouseOperatorAccess:创建计算组的权限;
- ByteHouseDataLoadingOperatorAccess:创建数据导入任务的权限;
通常完成IAM子账号、管理员给子账号完成IAM权限策略授权后,对于仅拥有ByteHouseReadOnlyAccess权限的
IAM子账号,管理员还需前往ByteHouse控制台,对子账号进行资源、数据的细节权限的授权操作。
说明
在ByteHouse控制台进行授权时,支持直接对IAM子账号进行授权,也支持先创建用户角色,为角色授权,再将角色权限授予给用户。以下为您介绍直接对子账号授权的操作说明,通过角色进行授权的操作请参见角色管理。
- 登录并进入ByteHouse控制台后,在”权限管理-用户“页面,查看当前用户列表。
- 点击需要管理的用户名,进入用户权限管理页面。
- 在“资源权限”和“数据权限”页签,我们可以分别按需给用户相应的权限。
- 资源权限
- 数据权限
- 同时,我们也可以在“授予的角色”页签,通过授予用户某个角色的方式,来令其继承角色的权限。关于角色的设置,请参考角色管理。
被授予的角色可以在“已授予角色”中查看,通过“撤销”按钮可以取消该用户的某个角色权限。
- 资源权限
在”权限管理-用户“页面,我们可以通过每个用户右侧的”禁用“按钮来收回用户所有权限。
完成对IAM用户赋予角色和相应的权限后,可以通过控制台提供的IAM登录链接(如下图)登录该账号,并切换到对应角色对资源进行查看和操作,从而实现数据对象的细粒度权限控制。