AI 助理
备案控制台
文档
输入文档关键字查找
首页开源大数据平台 E-MapReduceEMR Serverless StarRocks操作指南安全与权限管理用户及数据授权

管理用户及数据授权

更新时间:2025-03-20 01:47:43
产品详情
我的收藏

通过安全中心的用户管理和角色管理功能,您可以对多种资源实施精细化的权限控制,以确保只有授权用户能够管理或访问相关资源。

前提条件

已创建实例,详情请参见创建实例

角色和用户介绍

角色介绍

EMR Serverless StarRocks提供了以下内置角色,它们分别有不同的职责和用途。

角色名

描述

db_admin

负责数据库管理相关任务,如创建、修改数据库对象。

public

全局角色,默认所有用户自动归属于该角色,无需单独授权。

user_admin

负责用户账户管理相关任务,如创建、修改用户授权等。

用户介绍

EMR Serverless StarRocks提供了以下两种用户类型。

用户类型

描述

超级管理员

仅被授予user_admin角色的用户方可被视为管理员。超级管理员拥有全部数据库的权限,同时有权限进行用户管理和权限管理,包括新增、修改、删除用户,以及新增、编辑、取消权限。系统默认提供超级管理员账号为admin。

普通用户

仅被授予 db_admin 的用户均属于普通用户类型。普通用户默认不具备所有数据库的权限,需要单独授权后才可以使用数据库,并且不具备用户管理和权限管理的能力。

用户管理

添加用户

  1. 进入StarRocks Manager页面。

    1. 登录E-MapReduce控制台

    2. 在左侧导航栏,选择EMR Serverless > StarRocks

    3. 在顶部菜单栏处,根据实际情况选择地域。

    4. 单击StarRocks Manager,或者单击已创建实例操作列的连接实例

      连接StarRocks实例详情,请参见通过EMR StarRocks Manager连接StarRocks实例

  2. 在左侧导航栏,选择安全中心 > 用户管理

  3. 用户管理页面,单击添加用户

  4. 在弹出的对话框中,配置以下信息,单击确定

    参数

    描述

    用户来源

    身份认证方式。支持以下用户来源:

    • 自定义:适用于StarRocks内置用户管理,允许创建新的用户。

    • RAM用户:适用于对接DLF 2.0场景,允许使用已有RAM用户进行身份验证。

      说明

      该方式仅适用于3.2及后续版本的实例。

    用户名

    • 自定义:需自定义输入。长度限制为2~64个字符,仅可使用字母、数字、短划线(-)和下划线(_)。

    • RAM用户:将使用已创建的RAM用户进行身份验证。如果未创建RAM用户,请参见创建RAM用户

    密码确认密码

    自定义输入。长度限制为8~30个字符,且必须同时包含大写字母、小写字母、数字及特殊符号(@#$%^*_+-)。

    角色

    您可以为新增用户分配已有内置角色或您新增的角色权限。

    说明

    根据最小权限原则,建议仅分配用户所需的最低权限,避免权限过度分配带来的安全风险。

为用户授权

您可以为新增的用户授予相应资源的操作权限。

  1. 用户管理页面,单击目标用户操作列的授权

  2. 权限管理页签,单击添加权限

  3. 添加权限面板中,配置以下参数,单击确定

    参数

    描述

    资源

    支持以下资源:

    • 数据目录:管理 StarRocks 内部数据目录的访问权限,确保用户只能操作其授权范围内的内部数据库和表。

    • 数据目录(外部):管理外部数据目录的访问权限,确保用户只能访问其授权范围内的外部数据源。例如,Hive、Iceberg、Hudi等。

    • 数据库:控制用户对特定数据库的创建、修改、删除或查询权限。

    • 数据表:实现表级权限管理,限制用户对特定表的增删改查操作。

    • 物化视图:支持对物化视图的权限控制,用户可以选择性地管理或访问具体的物化视图。

    权限配置

    根据所选择的资源进行调整。

编辑、授权和删除用户

  • 编辑用户:具有编辑用户权限的用户可以单击目标用户操作列下的修改描述修改密码授权,更改用户的描述、密码,以及绑定的角色和权限。

  • 删除用户:

    • 内置用户:admin用户不支持删除操作。

    • 自定义用户:具有删除成员权限的用户可以单击目标用户操作列下的删除,以删除用户。

角色管理

创建角色

当内置的角色无法满足您的特定权限管理需求时,您可以自定义创建角色。通过创建角色,您可以实现更细粒度的权限控制,满足安全性要求或动态权限调整等复杂场景的需求。

  1. StarRocks Manager页面,选择安全中心 > 角色管理

  2. 角色管理页面,单击创建角色

  3. 创建角色对话框中,可以输入描述,单击确定

为角色授权

除了调整已有角色的权限外,您还可以为新增的角色授予特定权限,从而灵活满足不同业务场景下的权限管理需求。

  1. 角色管理页面,单击目标角色操作列的授权

  2. 权限管理页签,单击添加权限

  3. 添加权限面板中,选择资源及其相应的权限,单击确定

编辑、授权和删除角色

  • 编辑和授权角色:

    • 系统角色:不支持编辑和修改角色权限。

    • 自定义角色:具有编辑角色权限的用户可以单击目标角色操作列下的编辑授权,更改角色的描述,以及添加的用户和权限。

  • 删除角色:

    • 内置角色:不支持删除操作。

    • 自定义角色:具有删除成员权限的用户可以单击目标角色操作列下的编辑,删除已有的角色。

场景示例

以下为您介绍两个常见场景的操作。

创建用户并授权已有角色

  1. EMR StarRocks Manager页面,选择安全中心 > 用户管理

  2. 创建用户。

    1. EMR StarRocks Manager页面,选择安全中心 > 用户管理

    2. 用户管理页面,单击添加用户

    3. 在弹出的对话框中,配置相应参数,单击确定

      参数信息可以参见添加用户中的表格。

  3. 为新建用户授权。

    1. 用户管理页面,单击新建用户操作列的授权

    2. 权限管理页签,单击添加权限

    3. 添加权限面板中,选择资源及其相应的权限,单击确定

新建角色授予已有用户

当内置的角色无法满足您的特定权限管理需求时,您可以自定义创建角色。通过创建角色,您可以实现更细粒度的权限控制,满足安全性要求或动态权限调整等复杂场景的需求。

  1. EMR StarRocks Manager页面,选择安全中心 > 角色管理

  2. 创建角色。

    1. 角色管理页面,单击创建角色

    2. 创建角色对话框中,可以输入描述,单击确定

  3. 为新建角色添加权限。

    1. 角色管理页面,单击新建角色操作列的授权

    2. 权限管理页签,单击添加权限

    3. 添加权限面板中,选择资源及其相应的权限,单击确定

  4. 将角色授予已有用户。

    1. 单击用户列表页签。

    2. 用户列表页签,单击添加用户

    3. 添加权限面板中,选择目标用户,单击确定

相关文档

如需查看当前实例的SQL查询信息,分析SQL的执行计划,及时诊断和排查SQL问题,详情请参见诊断与分析

上一篇:审计日志下一篇:诊断与分析
  • 本页导读 (1)
  • 前提条件
  • 角色和用户介绍
  • 角色介绍
  • 用户介绍
  • 用户管理
  • 添加用户
  • 为用户授权
  • 编辑、授权和删除用户
  • 角色管理
  • 创建角色
  • 为角色授权
  • 编辑、授权和删除角色
  • 场景示例
  • 创建用户并授权已有角色
  • 新建角色授予已有用户
  • 相关文档