用户角色管理

本章节主要说明如何在 ByteHouse 中执行访问控制，以及管理员如何在用户管理、对象访问控制和网络安全方面配置访问控制策略。

为了更好地说明，本文档以 管理员账号（AccountAdmin） 作为示例演示各项功能。

用户管理

您可以在用户管理页面中创建新用户，如下所示。通过切换“强制修改密码”复选框，来设定新用户首次登陆时是否需要更改新密码。

您也可以为新用户补充一些补充信息

在用户页面，账户或管理员可以查看所有用户。您可以通过选择用户来编辑用户身份信息，重置其密码，以及禁用该用户。

ByteHouse 中可执行的所有操作都定义了相关权限。例如：查看帐户资源使用情况、创建新用户、从某个表查询数据或将大型数据集加载到 ByteHouse。

与特定资源相关的权限，如创建表（与数据库相关）、插入新数据（与表相关）和运行虚拟仓库（与仓库相关），都会绑定到特定的资源实例或对象。

其他权限，如创建数据库（*注意：数据库是账户级资源）、查看计费状态或创建新服务用户，不会绑定到任何特定对象上。

ByteHouse 中的权限控制是在角色级别执行的。每一位 ByteHouse 用户都可以获得一个或多个角色。
您可以访问“用户管理-角色”页面，查看帐户下可用的所有角色。

在使用 ByteHouse 时，您需要选择一个“ 角色 ”，该活跃角色拥有的权限将限制您的所有行为。

您可以从头像的下拉列表中选择其他“ 角色 ”，以进入与对应“ 角色 ”绑定的权限空间。根据权限空间设置的不同，您的 web 控制台界面也会有所不同。

默认情况下，由星号标记“*”表示的“ 公共角色 ”将分配给帐户下的所有用户。此公共角色也是创建新用户后的“ 默认角色 ”。

Web 控制台
在 ByteHouse web 控制台中，切换角色的面板如下所示：

在 帐户详细信息 页面中，您可以将 默认角色 更改为分配给您的任何角色。每次登录 ByteHouse 时，前端控制台中的角色就是您的默认角色。

CLI 访问

当您使用 CLI 访问 ByteHouse 时

SET ROLE "Role Name A";

-- or --

SET ROLE RoleNameB;

SET DEFAULT ROLE "Role Name A";

-- or --

SET DEFAULT ROLE RoleNameB;

在 ByteHouse 中，角色是按层级进行管理的。父角色将“继承”来自其直接子角色或间接子角色的所有权限。
在下面的示例中，GrandchildRole1 被授予“创建数据库”权限，而 ChildRoleB 被授予“查询表格一”权限。根据角色层级将产生以下结果：

在您注册了 ByteHouse 后，系统即为您创建6种内置角色，每个角色都有一些预定义的权限

账户管理员 是ByteHouse账户的根角色。分配到此角色的用户拥有账户下的所有特权和权限。
安全管理员 是账户管理员的直接子角色。拥有此角色的用户将负责所有与权限或特权相关的操作，例如创建新的自定义角色、删除自定义角色、将某些角色分配给用户等。一个特例是安全管理员不能把账户管理员角色分配给其他用户。
用户管理员 是账户管理员的直接子角色。用户管理员可以进行一切有关用户的操作，即用户CRUD。
系统管理员 是帐户管理员的直接子角色。拥有此角色的用户将拥有所有平台资源的权限，如数据库、表、虚拟仓库、在线工作表等。
运维管理员 是账户管理员的直接子角色。该角色没有任何预定义的特权或权限。此角色用于分配给ByteHouse客户工程师以提供客户支持。
公共角色 ，如前述，在ByteHouse中以星号“ * ”表示。这是ByteHouse帐户中特权最少的角色。向此角色授予权限与向此帐户中的所有角色授予相同权限具有相同的效果。