租房合同范本下载word,东莞网络优化,人才招聘网网站策划方案,互联网保险名词解释Databend 目前支持基于角色的访问控制 (RBAC) 和 自主访问控制 (DAC) 模型#xff0c;用于访问控制功能。
通过本指南#xff0c;我们会了解权限和角色在 Databend 中的基本概念#xff0c;以及如何管理角色、继承角色与建立层级、设置默认角色以及所有权的重要性。这些功能… Databend 目前支持基于角色的访问控制 (RBAC) 和 自主访问控制 (DAC) 模型用于访问控制功能。
通过本指南我们会了解权限和角色在 Databend 中的基本概念以及如何管理角色、继承角色与建立层级、设置默认角色以及所有权的重要性。这些功能使得用户能够根据实际需求灵活地配置和管理数据访问权限简化了权限管理的复杂性提高了数据安全管控的效率。
基本概念
当用户访问 Databend 中的数据对象Data Object时该用户必须被授予适当的权限或角色或者他们需要拥有数据对象的所有权。数据对象可以指各种元素如数据库、表、视图、 Stage 或 UDF。 权限Privilege 在与 Databend 中的数据对象交互时扮演着至关重要的角色。这些权限如读、写和执行提供了对用户行为的精确控制确保与用户需求保持一致并维护数据安全。角色Role 简化了访问控制。角色是预定义的权限集分配给用户简化了权限管理。管理员可以根据职责对用户进行分类高效地授予权限无需单独配置。所有权Ownership 在 Databend 中是独立的权限用于控制数据访问。当用户拥有某个数据对象的所有权时该用户拥有此数据对象的最高控制级别。这种直接的所有权模型使用户能够更直接的管理属于自己的数据。
权限类型
用户需要特定的权限才能在 Databend 中执行特定操作。例如要查询表用户至少需要具有对该表的 SELECT 权限要读取 Stage 中的数据集则最少需要对该 stage 的 READ 权限。 目前已经由权限类型接管的对象有 DB, Table, UDF, STAGE
权限对象类型描述ALL全局global授予指定对象类型的所有权限。ALTER全局, 数据库, 表, 视图修改数据库、表、用户或 UDF。CREATE全局, 数据库, 表创建数据库、表或 UDF。DELETE表删除或截断表中的行。DROP全局, 数据库, 表, 视图删除数据库、表、视图或 UDF。恢复已删除的表。INSERT表向表中插入行。SELECT数据库, 表从表中选择行。显示或使用数据库。UPDATE表更新表中的行。GRANT全局授予/撤销用户或角色的权限。SUPER全局, 表终止查询。设置全局配置。优化表。分析表。操作 Stage列出 Stage。创建、删除 Stage、目录或共享。USAGE全局“无权限”的同义词。CREATE ROLE全局创建角色。DROP ROLE全局删除角色。CREATE USER全局创建 SQL 用户。DROP USER全局删除 SQL 用户。WRITEStage写入 Stage。READStage读取 Stage。USAGEUDF使用 UDF。
给某个 user/role 授予某个表的 ALL 权限操作如下
grant all on db_name.table_name to role role_name;
grant all on db_name.table_name to user_name;
管理角色
角色在 Databend 中发挥着至关重要的作用简化了权限管理。当多个用户需要相同的一组权限时单独授予权限可能会很麻烦。角色通过允许将一组权限分配给角色然后可以轻松地分配给多个用户提供了一个解决方案。 比如最开始使用者希望用户 u1 可以读取表 db.t 和 db.t2 的数据就需要执行下面的 SQL
grant select on db.t to u1;
grant select on db.t2 to u1;
此时新的用户 u2 也需要读取 db.t 和 db.t2 的数据则需要管理员继续执行如下 SQL
grant select on db.t to u2;
grant select on db.t2 to u2;
如果有源源不断的新用户需要读取同样的对象就会使得管理员沉浸在这些繁琐的用户权限管理中而且很可能误操作导致访问一场。这些繁琐的操作可以被角色优化
-- 将 db.t 和 db.t2 的读取权限授权给角色 role1
grant select on db.t to role role1;
grant select on db.t2 to role role1;
-- 将 role1 的权限授予 u1
grant role role1 to u1;
-- 将 role1 的权限授予 u2
grant role role1 to u2;
如果想要查询更多的表如 t3只需要对 role1 做一次授权所有的被授予角色 role1 的用户即可读取表 t3。
-- 执行此 grant 后u1 和 u2 可以读取 t3 的数据
grant select on db.t3 to role role1;
Databend 支持查询用户和角色的信息参见用户与角色。
内置角色
Databend 引入了两个内置角色
account-admin拥有所有权限作为所有其他角色的父角色并允许在租户内无缝切换到任何角色。public不继承任何权限将所有角色视为其父角色并允许任何角色切换到 public 角色。
要在 Databend Cloud 中将 account-admin 角色分配给用户请在邀请用户时选择该角色。您也可以在用户加入后分配角色。如果您使用的是 Databend 社区版或企业版在部署期间首先配置一个 account-admin 用户然后根据需要将角色分配给其他用户。有关配置管理员用户的更多信息请参见配置管理员用户。
继承角色 建立层级
Databend 角色通过角色授权引入了一种强大的机制使一个角色能够继承另一个角色的权限和责任。这有助于创建一个灵活的层级结构类似于组织结构其中存在两个内置角色最高级别的角色是 account-admin最低级别的角色是 public。
考虑一个场景创建了三个角色manager*、*engineer 和 intern*。在这个例子中*intern 角色被授予给 engineer 角色。因此engineer 不仅拥有他们自己的一套权限还继承了与 intern 角色相关的权限。进一步扩展这个层级如果 engineer 角色被授予给 manager*那么 *manager 现在获得了 engineer 和 intern 角色的固有权限。 设置默认角色
当用户被授予多个角色时您可以使用 CREATE USER 或 ALTER USER 命令为该用户设置默认角色。默认角色决定了用户在会话开始时自动被分配的角色
用户可以在会话中使用 SET ROLE 命令切换到其他角色。用户可以使用 SHOW ROLES 命令检查他们当前的角色并查看授予他们的所有角色。如果您没有为用户明确设置默认角色Databend 将默认使用内置角色 public 作为默认角色。
比如对于用户 xiaoming 授予角色 dba 并且将角色 dba 设置为 xiaoming 的默认角色
grant role dba to user xiaoming;
alter user xiaoming with DEFAULT_ROLE dba;
所有权
简单来说所有权表示是某个角色完全拥有某个数据对象 。拥有了所有权意味着该角色可以对这个数据对象进行任意的访问操作包括对该数据对象进行删除。
Ownership 只会作用在 role 上且具有唯一性。所以对用户 grant 某个数据对象的 ownership 或者 revoke ownership 都是不支持的操作。
-- 在 Databend 中为非法操作
grant ownership on db.t to user u1;
revoke ownership on db.t from user u1;
Ownership 使得授权更加简单。只要是当前用户创建的数据对象就可以直接进行访问不需要再反复的对同一个数据对象做授权操作
-- 由管理员进行用户和角色的创建并且将角色授予对应的用户
create role role1;
create user u1 identified by 123 with DEFAULT ROLE role1;
grant create on db.* to role role1;
grant role role1 to u1;-- u1 登陆数据库后此时 role1 已经被授予了 u1 所以u1 可以访问自己在 db 下创建的表
u1 create table db.t(id int);
u1 insert into db.t values(1);
u1 select * from db.t;
u1 select * from db.t_old_exists -- 失败因为该表的 owner 并不是角色 role1
此时如果 u2 也希望访问 u1 创建的资源管理员只需要执行一条 SQL
-- 管理员将角色 role1 授予用户 u2
grant role role1 to u2;
当我们不再希望 u1 可以访问这些对象时管理员同样只需要执行一条 SQL
-- 管理员撤销用户 u1 的角色 role1
revoke role role1 from u1;
可以使用 SHOW GRANTS 查看用户与角色的详细信息。 注意所有权是一种专门的权限表示角色完全拥有 Databend 内的特定数据对象当前包括数据库、表、UDF 和 Stage。数据对象的所有权将自动授予创建它的用户的当前角色。共享相同角色的用户也拥有对象的所有权后续可以通过管理员将该数据对象的所有权授予其他角色 参考 GRANT命令。 所有权只能授予角色不允许将所有权授予用户。一旦从一个角色转移给另一个角色所有权就转移到新角色。如果拥有对象所有权的角色被删除account_admin 可以将对象的所有权授予另一个角色。不能为 default 数据库中的表授予所有权因为它由内置角色 account_admin 拥有。 出于安全考虑不建议将所有权授予内置角色 public。如果用户在创建对象时处于 public 角色则所有用户都将拥有该对象的所有权因为每个 Databend 用户默认都有 public 角色。Databend 建议创建并分配自定义角色给用户而不是使用 public 角色以明确管理所有权。以下示例将 account-admin 角色分配给新用户和现有用户 -- 将默认角色 account_admin 授予现有用户作为 root
root ALTER USER u1 WITH DEFAULT_ROLE account_admin;
root grant role u1 to writer;-- 作为 root 创建一个默认角色为 account_admin 的新用户
root create user u2 identified by 123 with DEFAULT_ROLEaccount_admin;
root grant role account_admin to u2; 删除数据对象将从所有者角色中撤销对该数据对象的所有权。恢复如果可用的话UNDROP被删除的数据对象将不会恢复所有权。在这种情况下您将需要一个 account_admin 再次将所有权授予角色。 结语
通过权限和角色管理Databend 提供了一个灵活数据安全管控框架。使得用户按照自己的需要高效地管理数据访问和操作权限。确保数据的安全性和完整性。
