全局用户管理
Data Cloud 角色管理
Data Cloud 系统中可以管理如下角色:
| 角色 | 作用 | 角色能力 |
|---|---|---|
| admin | Data Cloud 实例管理、角色管理 | 管理员,允许对 Data Cloud 下的所有计算、存储、网络资源进行增删改查,并管理相关用户和角色。 |
| devops | Data Cloud 实例管理 | 开发者,允许对 Data Cloud 下的所有计算、存储、网络资源进行增删改查。 |
| viewer | Data Cloud 订阅 | 订阅者,允许查阅 Data Cloud 实例。 |
打开 Data Cloud 权限管理
登录 ProtonBase 平台后,点击【Data Clouds】-【右侧具体的 Data Clouds ID】-【安全】-【用户与角色】,如下所示:
Data Cloud 角色关系
admin,devops和viewer是逐层包含关系,即拥有admin角色的用户同时拥有devops角色,拥有devops角色的用户也同时拥有viewer的角色,建议分配角色采用最小化原则,数仓开发人员建议分配viewer角色,系统运维人员分配devops角色,有账号管理权限的人员分配admin角色。
授权 Data Cloud 用户到角色
Data Cloud admin 角色用户可以将 ProtonBase 上已经注册的用户授权到对应角色上。
授权 Data Cloud 角色
- 点击对应角色右侧的【授权】
- 在弹出的窗口中,输入目标用户邮箱,仅支持添加已注册 ProtonBase 平台的邮箱账号。
- 点击【确定】按钮
授权登录数据库
- 使用管理员登录数据库;
- 在数据库内创建可登录用户:
--若授予管理员权限,则执行 CREATE USER "auth@example.com" WITH SUPERUSER; --若授予普通用户权限,则执行 CREATE USER "auth@example.com";
【最佳实践】若需细粒度授权,则先在数据库内创建本地角色,然后执行GRANT语句;比如BI应用,需要erp
schema内所有表的只读权限,部分结果表需要写入到bi schema内,可参考以下配置
CREATE SCHEMA erp;
CREATE SCHEMA bi;
CREATE ROLE bi_allow_all;
GRANT ALL ON ALL TABLES IN SCHEMA bi TO bi_allow_all;
GRANT USAGE, CREATE ON SCHEMA bi to bi_allow_all;
CREATE ROLE erp_readonly;
GRANT SELECT ON ALL TABLES IN SCHEMA erp TO erp_readonly;
GRANT USAGE ON SCHEMA erp TO erp_readonly;
CREATE USER "bi@example.com"; -- 邮箱bi@example.com需要已注册为平台账号
GRANT bi_allow_all to "bi@example.com";
GRANT erp_readonly TO "bi@example.com";
撤销 Data Cloud 角色
- 点击【安全】-【权限管理】打开权限管理面板
- 点击对应用户右侧的【撤销】
- 在弹出的窗口中,点击【确定】按钮
Q & A
- 可以支持自定义 Data Cloud 角色吗? 目前 ProtonBase 产品中不支持用户自定义 Data Cloud 角色。
- 系统中可以修改角色的继承关系吗? 目前 ProtonBase 产品中不能修改系统默认角色的继承关系,可以修改用户的继承关系。
-
添加数据库访问时,报错
添加数据库访问时,需要使用平台注册邮箱。ERROR: a role/user named auth@example.com has not been registered yet