通過資訊安全中心的使用者管理和角色管理功能,您可以對多種資源實施精細化的許可權控制,以確保只有授權使用者能夠管理或訪問相關資源。
前提條件
已建立執行個體,詳情請參見建立執行個體。
角色和使用者介紹
角色介紹
EMR Serverless StarRocks提供了以下內建角色,它們分別有不同的職責和用途。
角色名稱 | 描述 |
| 負責資料庫管理相關任務,如建立、修改資料庫物件等操作。 |
| 全域角色,預設所有使用者自動歸屬於該角色,無需單獨授權。 提供基礎許可權,確保使用者能夠訪問系統中的公用資源。 |
| 負責使用者賬戶管理相關任務,如建立、修改使用者,以及授權等操作。 |
使用者介紹
EMR Serverless StarRocks提供了以下使用者類型。
使用者類型 | 描述 |
超級管理員 | 擁有 |
普通使用者 | 僅擁有預設 |
使用者管理
添加使用者
進入StarRocks Manager頁面。
在左側導覽列,選擇。
在頂部功能表列處,根據實際情況選擇地區。
單擊StarRocks Manager,或者單擊已建立執行個體操作列的串連執行個體。
串連StarRocks執行個體詳情,請參見通過EMR StarRocks Manager串連StarRocks執行個體。
在左側導覽列,選擇。
在使用者管理頁面,單擊添加使用者。
在彈出的對話方塊中,配置以下資訊,單擊確定。
參數
描述
使用者來源
身份認證方式。支援以下使用者來源:
自訂:適用於StarRocks內建使用者管理,允許建立新的使用者。
RAM使用者:適用於對接DLF情境,允許使用已有RAM使用者進行身分識別驗證。
說明適用版本:僅支援3.2及後續版本的StarRocks執行個體。
不適用情境: DLF 1.0(舊版)。
使用者名稱
自訂:需自訂輸入。長度限制為2~64個字元,僅可使用字母、數字、短劃線(-)和底線(_)。
RAM使用者:將使用已建立的RAM使用者進行身分識別驗證。如果未建立RAM使用者,請參見建立RAM使用者。
密碼和確認密碼
自訂輸入。長度限制為8~30個字元,且必須同時包含大寫字母、小寫字母、數字及特殊符號(@#$%^*_+-)。
角色
您可以為新增使用者指派已有內建角色或您新增的角色許可權。
說明根據最小許可權原則,建議僅分配使用者所需的最低許可權,避免許可權資源過度分派帶來的安全風險。
為使用者授權
您可以為新增的使用者授予相應資源的操作許可權。
在使用者管理頁面,單擊目標使用者操作列的授權。
在許可權管理頁簽,單擊添加許可權。
在添加許可權面板中,配置以下參數,單擊確定。
參數
描述
資源
支援以下資源:
資料目錄:管理StarRocks內部資料目錄的存取權限,確保使用者只能操作其授權範圍內的內部資料庫和表。
資料目錄(外部):管理外部資料目錄的存取權限,確保使用者只能訪問其授權範圍內的外部資料源。例如,Hive、Iceberg、Hudi等。
資料庫:控制使用者對特定資料庫的建立、修改、刪除或查詢許可權。
資料表:實現表級許可權管理,限制使用者對特定表的增刪改查操作。
視圖:系統管理使用者對視圖的許可權,確保使用者只能查看或操作其授權範圍內的視圖。
物化視圖:支援對物化視圖的許可權控制,使用者可以選擇性地管理或訪問具體的物化視圖。
許可權配置
對應許可權如下:
資料目錄:ALL、USAGE、CREATE DATABASE、DROP、ALTER。
資料目錄(外部):ALL、USAGE、CREATE DATABASE、DROP、ALTER。
資料庫:ALL、ALTER、DROP、CREATE TABLE、CREATE VIEW、CREATE FUNCTION、CREATE MATERIALIZED VIEW、CREATE PIPE。
資料表:ALL、ALTER、DROP、SELECT、INSERT、UPDATE、EXPORT、DELETE。
視圖:ALL、SELECT、ALTER、DROP。
物化視圖:ALL、SELECT、ALTER、REFRESH、DROP。
編輯和刪除使用者
編輯使用者:具有編輯使用者權限的使用者可以單擊目標使用者操作列下的修改描述、修改密碼、授權,更改使用者的描述、密碼,以及綁定的角色和許可權。
刪除使用者:
內建使用者:admin使用者不支援刪除操作。
自訂使用者:具有刪除成員許可權的使用者可以單擊目標使用者操作列下的刪除,以刪除使用者。
角色管理
建立角色
當內建的角色無法滿足您的特定許可權管理需求時,您可以自訂建立角色。通過建立角色,您可以實現更細粒度的許可權控制,滿足安全性要求或動態許可權調整等複雜情境的需求。
在StarRocks Manager頁面,選擇。
在角色管理頁面,單擊建立角色。
在建立角色對話方塊中,可以輸入描述,單擊確定。
為角色授權
除了調整已有角色的許可權外,您還可以為新增的角色授予特定許可權,從而靈活滿足不同業務情境下的許可權管理需求。
在角色管理頁面,單擊目標角色操作列的授權。
在許可權管理頁簽,單擊添加許可權。
在添加許可權面板中,選擇資源及其相應的許可權,單擊確定。
參數
描述
資源
支援以下資源:
資料目錄:管理StarRocks內部資料目錄的存取權限,確保當前角色只能操作其授權範圍內的內部資料庫和表。
資料目錄(外部):管理外部資料目錄的存取權限,確保當前角色只能訪問其授權範圍內的外部資料源。例如,Hive、Iceberg、Hudi等。
資料庫:控制當前角色對特定資料庫的建立、修改、刪除或查詢許可權。
資料表:實現表級許可權管理,限制當前角色對特定表的增刪改查操作。
視圖:管理當前角色對視圖的許可權,確保當前角色只能查看或操作其授權範圍內的視圖。
物化視圖:支援對物化視圖的許可權控制。當前角色可以選擇性地管理或訪問具體的物化視圖。
許可權配置
對應許可權如下:
資料目錄:ALL、USAGE、CREATE DATABASE、DROP、ALTER。
資料目錄(外部):ALL、USAGE、CREATE DATABASE、DROP、ALTER。
資料庫:ALL、ALTER、DROP、CREATE TABLE、CREATE VIEW、CREATE FUNCTION、CREATE MATERIALIZED VIEW、CREATE PIPE。
資料表:ALL、ALTER、DROP、SELECT、INSERT、UPDATE、EXPORT、DELETE。
視圖:ALL、SELECT、ALTER、DROP。
物化視圖:ALL、SELECT、ALTER、REFRESH、DROP。
編輯和刪除角色
編輯角色:
系統角色:不支援編輯和修改角色許可權。
自訂角色:具有編輯角色許可權的使用者可以單擊目標角色操作列下的編輯、授權,更改角色的描述,以及添加的使用者和許可權。
刪除角色:
內建角色:不支援刪除操作。
自訂角色:具有刪除成員許可權的使用者可以單擊目標角色操作列下的刪除,刪除已有的角色。
情境樣本
以下為您介紹兩個常見情境的操作。
建立使用者並授權
在EMR StarRocks Manager頁面,選擇。
建立使用者。
在使用者管理頁面,單擊添加使用者。
在彈出的對話方塊中,配置相應參數,單擊確定。
參數資訊可以參見添加使用者中的表格。
為建立使用者授權。
在使用者管理頁面,單擊建立使用者操作列的授權。
在許可權管理頁簽,單擊添加許可權。
在添加許可權面板中,選擇資源及其相應的許可權,單擊確定。
建立角色授予已有使用者
當內建的角色無法滿足您的特定許可權管理需求時,您可以自訂建立角色。通過建立角色,您可以實現更細粒度的許可權控制,滿足安全性要求或動態許可權調整等複雜情境的需求。
在EMR StarRocks Manager頁面,選擇。
建立角色。
在角色管理頁面,單擊建立角色。
在建立角色對話方塊中,可以輸入描述,單擊確定。
為建立角色添加許可權。
在角色管理頁面,單擊建立角色操作列的授權。
在許可權管理頁簽,單擊添加許可權。
在添加許可權面板中,選擇資源及其相應的許可權,單擊確定。
將角色授予已有使用者。
單擊使用者列表頁簽。
在使用者列表頁簽,單擊添加使用者。
在添加許可權面板中,選擇目標使用者,單擊確定。
相關文檔
如需查看當前執行個體的SQL查詢資訊,分析SQL的執行計畫,及時診斷和排查SQL問題,詳情請參見診斷與分析。