全局用户管理
为什么需要全局用户管理?
全局用户管理是 ProtonBase 平台权限体系的重要组成部分,它提供了跨 Data Cloud 实例的统一用户身份管理能力。通过全局用户管理,您可以:
- 统一身份管理:在多个 Data Cloud 实例间使用统一的用户身份
- 简化权限分配:一次创建用户,多处使用,减少重复管理工作
- 集中控制:通过平台级权限控制,确保企业级安全策略的一致性
- 提高效率:避免在每个 Data Cloud 中重复创建和管理用户
全局用户管理与 Data Cloud 级别的角色管理相结合,构成了 ProtonBase 完整的权限管理体系,确保企业能够在保持灵活性的同时实现严格的安全控制。
Data Cloud 角色管理
Data Cloud 系统中可以管理如下角色:
| 角色 | 作用 | 角色能力 |
|---|---|---|
| admin | Data Cloud 实例管理、角色管理 | 管理员,允许对 Data Cloud 下的所有计算、存储、网络资源进行增删改查,并管理相关用户和角色。 |
| devops | Data Cloud 实例管理 | 开发者,允许对 Data Cloud 下的所有计算、存储、网络资源进行增删改查。 |
| viewer | Data Cloud 订阅 | 订阅者,允许查阅 Data Cloud 实例。 |
角色继承关系
admin、devops 和 viewer 是逐层包含关系,即拥有 admin 角色的用户同时拥有 devops 角色,拥有 devops 角色的用户也同时拥有 viewer 的角色。建议分配角色采用最小化原则:
- 数仓开发人员建议分配 viewer 角色
- 系统运维人员分配 devops 角色
- 有账号管理权限的人员分配 admin 角色
打开 Data Cloud 权限管理
登录 ProtonBase 平台后,点击【Data Clouds】-【右侧具体的 Data Clouds ID】-【安全】-【用户与角色】,如下所示:
授权 Data Cloud 用户到角色
Data Cloud admin 角色用户可以将 ProtonBase 上已经注册的用户授权到对应角色上。
授权 Data Cloud 角色
- 点击对应角色右侧的【授权】
- 在弹出的窗口中,输入目标用户邮箱,仅支持添加已注册 ProtonBase 平台的邮箱账号。
- 点击【确定】按钮
授权登录数据库
- 使用管理员登录数据库;
- 在数据库内创建可登录用户:
--若授予管理员权限,则执行 CREATE USER "auth@example.com" WITH SUPERUSER; --若授予普通用户权限,则执行 CREATE USER "auth@example.com";
有关数据库内更详细的权限管理,请参考ProtonBase权限管理文档,其中包含了完整的权限体系说明和实际应用示例。
撤销 Data Cloud 角色
- 点击【安全】-【权限管理】打开权限管理面板
- 点击对应用户右侧的【撤销】
- 在弹出的窗口中,点击【确定】按钮
最佳实践
- 最小权限原则:只授予用户完成工作所需的最小权限
- 定期审查:定期审查用户权限分配,及时清理不需要的权限
- 角色复用:创建通用角色,避免为每个用户单独设置权限
- 安全审计:记录权限变更日志,便于安全审计和问题追踪
Q & A
常见问题解答
-
可以支持自定义 Data Cloud 角色吗? 目前 ProtonBase 产品中不支持用户自定义 Data Cloud 角色。
-
系统中可以修改角色的继承关系吗? 目前 ProtonBase 产品中不能修改系统默认角色的继承关系,可以修改用户的继承关系。
-
添加数据库访问时,报错
ERROR: a role/user named auth@example.com has not been registered yet添加数据库访问时,需要使用平台注册邮箱。
故障排除
如果遇到权限相关问题,请按以下步骤排查:
- 确认用户是否已在平台注册
- 检查用户是否已被正确授权到相应角色
- 验证数据库中是否已创建对应用户
- 检查安全组和网络配置是否正确