账户与授权

最近更新时间:2023-09-12 14:56:21

我的收藏

功能介绍

腾讯云数据仓库 TCHouse-C 提供用户一个可视化界面,可以通过在界面创建 RBAC 账户,然后对账户进行权限配置,同时还可以 对账户做配额、配置文件、行策略等限制,从而实现对云数据仓库 TCHouse-C 集群更便捷、高效的账户权限管控。

账户

提供账户的创建、查看密码、重置密码和删除账户功能。
1. 登录 TCHouse-C 控制台 ,在集群列表中单击目标 ID/名称,在集群详情页切换到账户管理页签。

2. 用户可对实例实施账户管理,包括新增账户、修改密码和删除账户:



说明
账户命名规则:由⼩写字⺟、数字和下划线组成,以字⺟开头,以字⺟或数字结尾,⻓度为2-16字符。
密码设置规则:包含⼩写字⺟、⼤写字⺟、数字以及特殊字符((、)、!、@、#、$、%、^、&、*、|、?、>、<)其中三项,不能以“/”开头,在8 - 30 位字符数以内(推荐12位以上)。
xml 账户是在 users.xml 配置文件里定义的用户,rbac 账户表示用户管控界面创建的账户,两者是无关联的,建议不要出现重名账户,否则可能会出现账户权限不一致问题。

授权

1. 登录 云数据仓库 TCHouse-C 控制台 ,在集群列表中单击目标 ID/名称,在集群详情页切换到账户管理页签,单击前往授权或直接切换到授权页签,对账户进行授权(选择V-cluster、授予库、表等权限):


授权访问范围:⽀持授予账户所有数据库和表授权,也可按需授予账户部分数据库和表操作权限。
普通权限:
查询(默认打开):SELECT —— 库表、视图、字典的查询。
设置:ALTER —— 表结构修改。
插⼊:INSERT —— 表数据插⼊。
⾼危权限:
表权限
建表:CREATE TABLE、CREATE VIEW、CREATE DICTIONARY —— 数据表、视图、字典的创建。
清理:TRUNCATE,OPTIMIZE —— 清理表数据,包括清空和合并数据。
删表:DROP TABLE、DROP VIEW、DROP DICTIONARY —— 数据表、视图、字典的删除。
库权限
建库:CREATE DATABASE —— 创建数据库,作⽤于全局,因此选中了此权限,能看到所有数据库。
删库:DROP DATABASE —— 删除数据库,作⽤于具体库。
2. 部分数据库和表授权


说明
部分数据库和表授权,⽀持更细粒度、灵活的库表权限配置,可对任意库、表做不同的权限配置。
每次权限配置都是增量操作:跟上次权限作对⽐,库表没有变化的权限不做删除,只删减少的权限和添加新增的权限,从⽽达到权限变更过程中不影响业务操作。

配置

Row Poliocy(行策略)、Settings Profile(配置文件)和Quota(配额)这些之前只能通过 XML 设置的功能点,在 20.3之后的版本中,都支持按 SQL 驱动的方式来维护(创建、修改和删除)。
1. Quota(配额)


说明
Quota 提供七个配置项供配置,⿏标移动到每个配置项上会显示配置项的中⽂意义。
⽤户界⾯可以选择7个配置项中的 N 个作为⼀个组合。
2. Settings Profile(配置文件) 每个 Setting profile 会包含N个配置项,配置项全在 system 库下 settings 表⾥头,总共有335个配置项。⽤户界⾯选择其中的 N 个配置项作为⼀个组合,命名后就形成了⼀个配置⽂件,这个配置⽂件可以同时作⽤于⼀个或多个 RBAC ⽤户。


3. Row Poliocy(行策略) ⾏策略是⼀个过滤器,它定义了哪些⾏可供⽤户看到。


说明
如果集群配置了某个表的多个⾏策略,那没有应⽤到任何策略的⽤户将不能查询该表的数据,请谨慎操作。

注意事项

1. 可多次操作授予一个账户关联多个 V-cluster 的库表权限,一次账户、V-cluster 授权将生成一条授权记录。
2. 界面授权后,默认的 xml 无密码账户 default 需要进行密码修改,否则页面账户管理仍存在安全隐患。
3. 用户界面配置了 RBAC 账户之后,即可在 云数据仓库 TCHouse-C 控制台 >SQL 工作区 执行日常的 ClickHouse 命令操作。
4. SQL 工作区 平台做了放开,支持 xml 用户登入操作。