跳到主要内容

角色

Databend 中的角色在简化权限管理方面起着关键作用。当多个用户需要相同的权限集时,单独授予权限可能很麻烦。角色提供了一种解决方案,允许将一组权限分配给一个角色,然后可以轻松地将该角色分配给多个用户。

备注

目前,Databend 默认不对用户定义函数 (UDF) 和 Stage 强制执行基于角色的访问控制 (RBAC) 检查。但是,如果您需要对这些对象执行 RBAC,您可以选择手动设置 SET GLOBAL enable_experimental_rbac_check=1 来全局启用它。

如果未手动将 enable_experimental_rbac_check 设置为 1,则 UDF 和 Stage 将在没有 RBAC 限制的情况下运行。换句话说,用户将可以无限制地执行 UDF 并访问 Stage 中的数据,而无需经过 RBAC 权限检查。

Alt text

继承角色 & 建立层级结构

角色授予使一个角色能够继承另一个角色的权限和职责。这有助于创建灵活的层级结构,类似于组织结构,其中存在两个 内置角色:最高的是 account-admin,最低的是 public

考虑创建三个角色的场景:managerengineerintern。在此示例中,intern 角色被授予给 engineer 角色。因此,engineer 不仅拥有自己的权限集,还继承了与 intern 角色相关的权限。进一步扩展此层级结构,如果将 engineer 角色授予给 manager,则 manager 现在获得 engineerintern 角色的固有权限。

Alt text

内置角色

Databend 附带以下内置角色:

内置角色描述
account-admin拥有所有权限,充当所有其他角色的父角色,并能够无缝切换到租户中的任何角色。
public不继承任何权限,将所有角色视为其父角色,并允许任何角色切换到 public 角色。

要在 Databend Cloud 中将 account-admin 角色分配给用户,请在邀请用户时选择该角色。您也可以在用户加入后将该角色分配给用户。如果您使用的是 Databend Community Edition 或 Enterprise Edition,请首先在部署期间配置 account-admin 用户,然后根据需要将该角色分配给其他用户。有关配置管理员用户的更多信息,请参阅 配置管理员用户

设置默认角色

当用户被授予多个角色时,您可以使用 CREATE USERALTER USER 命令为该用户设置默认角色。默认角色确定在会话开始时自动分配给用户的角色:

Example:
-- 显示系统中现有的角色
SHOW ROLES;

┌───────────────────────────────────────────────────────────┐
│ name │ inherited_roles │ is_current │ is_default │
├───────────────┼─────────────────┼────────────┼────────────┤
│ account_admin │ 0truetrue
public0falsefalse
│ writer │ 0falsefalse
└───────────────────────────────────────────────────────────┘

-- 创建一个密码为 'abc123' 的用户 'eric',并将 'writer' 设置为默认角色
CREATE USER eric IDENTIFIED BY 'abc123' WITH DEFAULT_ROLE = 'writer';

-- 将 'account_admin' 角色授予给用户 'eric'
GRANT ROLE account_admin TO eric;

-- 将 'account_admin' 设置为用户 'eric' 的默认角色
ALTER USER eric WITH DEFAULT_ROLE = 'account_admin';
  • 用户可以使用 SET ROLE 命令灵活地在会话中切换到其他角色。
  • 用户可以使用 SHOW ROLES 命令检查其当前角色并查看授予给他们的所有角色。
  • 如果您没有为用户显式设置默认角色,Databend 将默认使用内置角色 public 作为默认角色。

激活角色 & 辅助角色

可以向用户授予 Databend 中的多个角色。这些角色分为激活角色和辅助角色:

  • 激活角色是用户当前会话的激活主角色,可以使用 SET ROLE 命令进行设置。

  • 辅助角色是提供额外权限的其他角色,默认情况下处于激活状态。用户可以使用 SET SECONDARY ROLES 命令激活或停用辅助角色,以临时调整其权限范围。

账单角色

除了标准的内置角色之外,您还可以在 Databend Cloud 中创建一个名为 billing 的自定义角色,专门满足财务人员的需求。角色 billing 仅提供对与账单相关的信息的访问权限,确保财务人员可以查看必要的财务数据,而无需访问其他与业务相关的页面。

要设置和使用角色 billing,您可以使用以下命令创建它:

CREATE ROLE billing;

角色名称不区分大小写,因此 billingBilling 被认为是相同的。有关设置和分配角色 billing 的详细步骤,请参阅 授予财务人员访问权限

使用示例

此示例展示了基于角色的权限管理。最初,创建一个“writer”角色并授予权限。随后,这些权限被分配给用户“eric”,他继承了这些权限。最后,从角色中撤销权限,展示了它们对用户权限的影响。

Example:
-- 创建一个名为 'writer' 的新角色
CREATE ROLE writer;

-- 将 'default' schema 中所有对象的所有权限授予给角色 'writer'
GRANT ALL ON default.* TO ROLE writer;

-- 创建一个密码为 'abc123' 的新用户 'eric'
CREATE USER eric IDENTIFIED BY 'abc123';

-- 将角色 'writer' 授予给用户 'eric'
GRANT ROLE writer TO eric;

-- 显示授予给用户 'eric' 的权限
SHOW GRANTS FOR eric;

┌──────────────────────────────────────────────────┐
│ Grants │
├──────────────────────────────────────────────────┤
GRANT ALL ON 'default'.'default'.* TO 'eric'@'%'
└──────────────────────────────────────────────────┘

-- 从角色 'writer' 中撤销 'default' schema 中所有对象的所有权限
REVOKE ALL ON default.* FROM ROLE writer;

-- 显示授予给用户 'eric' 的权限
-- 由于已从角色中撤销权限,因此不显示任何权限
SHOW GRANTS FOR eric;