用户管理
用户是云器 Lakehouse 中执行操作的身份主体。Lakehouse 采用两层用户体系:实例级用户管理和工作空间级用户管理。
用户层级
实例级用户
实例级用户在全局账户中创建,是系统中的独立身份。实例级用户的创建、删除、启用/禁用等操作在账户控制台 → 用户管理页面进行。
- 一个账户下可以创建多个用户,用户名必须唯一
- 实例级用户默认被授予
角色,无任何数据和功能权限instance_user - 用户需要加入工作空间后,才能被授予工作空间内的角色和权限
工作空间级用户
工作空间级用户是将实例级用户加入到特定工作空间中。只有加入工作空间的用户,才能被授予该工作空间内的角色和权限。
- 使用
将实例用户加入工作空间CREATE USER - 使用
将用户从工作空间移除DROP USER - 一个用户可以同时加入多个工作空间
用户类型
| 类型 | 说明 | 登录方式 |
|---|---|---|
| 普通用户 | 企业内的实际人员,进行日常数据查询、分析、管理等操作 | Web 端登录、JDBC 连接 |
| 服务用户 | 用于自动化流程或系统级调用的特殊用户 | 仅 JDBC 连接,不可 Web 登录 |
服务用户包括系统服务用户(Lakehouse 初始化时默认创建)和自定义服务用户(用户自助创建)。
本章内容
| 页面 | 说明 |
|---|---|
| CREATE USER | 将实例用户加入当前工作空间,设置默认集群和 Schema |
| ALTER USER | 修改用户的默认集群、默认 Schema 等属性 |
| DROP USER | 将用户从当前工作空间移除(不删除实例用户账号) |
| SHOW USERS | 列出当前工作空间下的所有用户 |
用户生命周期管理
1. 创建实例用户
在账户控制台的"用户管理"页面创建新用户,设置用户名、密码、手机号、邮箱等信息。
2. 将用户加入工作空间
3. 为用户授予角色或权限
4. 修改用户属性
5. 查看用户列表和权限
6. 从工作空间移除用户
常用操作
将用户加入工作空间
修改用户配置
查看用户
从工作空间移除用户
权限管理最佳实践
- 使用 RBAC 模式:通过角色批量管理权限,而非直接授予用户
- 遵循最小权限原则:仅授予用户完成工作所需的最低权限
- 定期审查权限:使用
定期检查用户权限SHOW GRANTS TO USER - 使用 WITH GRANT OPTION 需谨慎:被授权用户可将权限转授给其他人
注意事项
不创建新账号,只将已有实例用户加入工作空间;实例用户在控制台创建CREATE USER
只移除工作空间访问权限,不删除实例用户的账号和密码DROP USER- 移除用户前建议先
确认权限已处理SHOW GRANTS TO USER user_name
相关文档
| 文档 | 说明 |
|---|---|
| SQL 命令总览 | 所有 SQL 命令分类导航 |
| 角色与权限 | 向用户授予角色和权限 |
| CREATE USER | 将实例用户加入工作空间的完整语法 |
| ALTER USER | 修改用户属性的完整语法 |
| DROP USER | 从工作空间移除用户的完整语法 |
| SHOW USERS | 查看工作空间用户列表 |
| GRANT | 向用户或角色授予权限 |
| REVOKE | 回收用户或角色的权限 |
| SHOW GRANTS | 查看用户或角色的权限列表 |
| 角色 | 角色的创建和管理 |
联系我们