云器 Lakehouse 权限体系盘点与优化最佳实践指南

文档信息

目标读者：系统管理员、安全管理员、数据治理团

一、概述

在云器 Lakehouse 中，用户和角色是重要的数字资产。随着业务发展，权限体系可能变得复杂，出现权限冗余、角色闲置等问题。本指南将帮助你：

✅ 理解云器 Lakehouse 的双层权限体系
✅ 掌握通过 Studio Web 界面和 SQL 进行权限管理
✅ 区分空间级和实例级两种权限盘点视角
✅ 识别和清理权限冗余
✅ 建立持续的权限治理机制

二、理解云器 Lakehouse 权限体系

2.1 双层权限架构

云器 Lakehouse 采用实例-空间双层权限体系：

云器 Lakehouse Instance（实例） ├── 实例级资源 │ ├── Instance Users（实例用户池） │ │ ├── 普通用户（从全局平台同步） │ │ └── 服务用户（API/自动化使用） │ └── Instance Roles（实例级角色） │ ├── instance_admin（实例管理员） │ ├── instance_sre（实例运维） │ ├── instance_datasource_admin（数据源管理） │ └── ...其他实例级角色 │ └── 工作空间层 ├── Workspace A（工作空间A） │ ├── Workspace Users（从实例用户池授权的用户） │ └── Workspace Roles（空间级角色） │ ├── workspace_admin │ ├── workspace_dev │ └── 自定义角色 ├── Workspace B │ ├── Workspace Users │ └── Workspace Roles └── Workspace C ├── Workspace Users └── Workspace Roles

关键理解：

用户首先存在于实例级用户池中
通过
```
CREATE USER
```
CREATE USER
命令将实例用户添加到特定工作空间
实例级角色具有跨工作空间的权限
工作空间级角色仅在特定工作空间内有效

2.2 角色类型分类

角色类型作用范围分配位置示例说明

角色类型	作用范围	分配位置	示例	说明
实例级角色	跨所有 Workspace	实例层面分配	`instance_admin` instance_admin `system_admin` system_admin `instance_sre` instance_sre `instance_datasource_admin` instance_datasource_admin	拥有跨工作空间的管理权限在实例级别统一管理
空间级系统角色	单一 Workspace	工作空间内分配	`workspace_admin` workspace_admin `workspace_dev` workspace_dev `workspace_analyst` workspace_analyst `workspace_sre` workspace_sre `workspace_user` workspace_user	系统预置，权限范围限于特定工作空间每个工作空间独立管理
空间级自定义角色	单一 Workspace	工作空间内创建和分配	用户自定义角色名	根据业务需求创建仅在创建它的工作空间内有效

实例级角色

跨所有 Workspace

实例层面分配

instance_admin

instance_admin

system_admin

system_admin

instance_sre

instance_sre

instance_datasource_admin

instance_datasource_admin

拥有跨工作空间的管理权限
在实例级别统一管理

空间级系统角色

单一 Workspace

工作空间内分配

workspace_admin

workspace_admin

workspace_dev

workspace_dev

workspace_analyst

workspace_analyst

workspace_sre

workspace_sre

workspace_user

workspace_user

系统预置，权限范围限于特定工作空间
每个工作空间独立管理

空间级自定义角色 单一 Workspace 工作空间内创建和分配用户自定义角色名根据业务需求创建
仅在创建它的工作空间内有效

重要说明：

系统预置角色中，
```
workspace_admin
```
workspace_admin
和
```
instance_admin
```
instance_admin
的权限不可修改
其他预置角色的权限可以根据需要进行调整
目前仅支持在工作空间内创建自定义角色，不支持创建实例级自定义角色

2.3 用户管理流程

理解用户在云器 Lakehouse 中的流转过程：

1. 全局平台用户（在 accounts.yunqi.com 注册） ↓ 自动同步 2. 实例用户池（存在于 Lakehouse 实例中） ↓ CREATE USER 命令 3. 工作空间用户（被授权访问特定工作空间） ↓ GRANT ROLE 命令 4. 拥有角色的用户（具有实际操作权限）

重要概念：在工作空间中执行

CREATE USER

CREATE USER

实际上是将已存在于实例用户池的用户添加到当前工作空间，这就是为什么不需要指定密码的原因。

2.4 角色权限范围说明

⚠️ 注意：> - 不同角色之间的权限继承关系需要根据实际环境验证，不同版本可能有所差异

```
system_admin
```
system_admin
角色即将下线，建议使用
```
instance_admin
```
instance_admin
作为实例级管理角色
建议通过实际测试确认各角色的具体权限范围

三、关键概念：两种盘点视角（必读）

3.1 空间级盘点 vs 实例级盘点

对比维度	📁 空间级盘点	🌐 实例级盘点
数据来源	information_schema（已过滤）	全局元数据（需特殊权限）
SQL 过滤条件	`WHERE workspace_id = current_workspace_id()` WHERE workspace_id = current_workspace_id()	无过滤，可见所有数据
可见范围	仅当前工作空间	所有工作空间
适用场景	日常权限管理	全局安全审计
局限性	❌ 无法看到其他工作空间 ❌ 可能误判权限冗余	❌ 需要高级权限 ❌ 操作复杂度高

3.2 重要提示

⚠️ 关键区别：

使用
```
information_schema
```
information_schema
进行的盘点都是空间级盘点，只能看到当前工作空间的"局部视图"
要进行实例级盘点，需要通过 Studio 管理控制台或特殊权限访问全局数据
判断方法：如果你的查询基于
```
information_schema
```
information_schema
表，那么你正在进行空间级盘点

五、权限盘点实践步骤

步骤 1：明确盘点级别

-- 确认当前盘点环境和级别 SELECT '当前盘点级别' as check_item, '空间级盘点' as level, current_workspace() as workspace_scope, '仅可见当前工作空间数据' as visibility_limit, '如需全局视图请使用管理控制台' as suggestion;

步骤 2：用户角色分布分析

-- 分析用户的角色分配情况（已脱敏） SELECT CASE WHEN user_name LIKE 'admin%' THEN 'admin_user_' || ROW_NUMBER() OVER (ORDER BY user_name) WHEN user_name LIKE 'dev%' THEN 'dev_user_' || ROW_NUMBER() OVER (ORDER BY user_name) ELSE 'user_' || ROW_NUMBER() OVER (ORDER BY user_name) END as masked_user, role_names, LENGTH(role_names) - LENGTH(REPLACE(role_names, ',', '')) + 1 as role_count, CASE WHEN role_names LIKE '%system_admin%' THEN '包含实例级角色' WHEN role_names LIKE '%workspace_admin%' THEN '空间管理员' WHEN role_names LIKE '%workspace_dev%' THEN '开发人员' ELSE '普通用户' END as user_category FROM information_schema.users ORDER BY role_count DESC;

步骤 3：角色使用情况分析

-- 分析角色的分配和使用情况 SELECT role_name, CASE WHEN role_name LIKE 'instance_%' THEN '实例级角色（在空间级视图中）' WHEN role_name = 'system_admin' THEN '实例级角色（即将下线）' WHEN role_name LIKE 'workspace_%' THEN '空间级-系统预置' ELSE '空间级-自定义' END as role_classification, CASE WHEN user_names IS NULL OR user_names = '' THEN '⚠️ 未分配' ELSE '✅ 已分配' END as assignment_status, CASE WHEN user_names IS NOT NULL THEN LENGTH(user_names) - LENGTH(REPLACE(user_names, ',', '')) + 1 ELSE 0 END as assigned_user_count, comment as description FROM information_schema.roles ORDER BY CASE WHEN user_names IS NULL THEN 0 ELSE 1 END DESC, role_name;

⚠️ 注意：虽然

instance_admin

instance_admin

等是实例级角色，但它们也会出现在空间级的

information_schema.roles

information_schema.roles

视图中，这是因为这些角色在当前工作空间中有用户被授予了该角色。

步骤 4：权限冗余检测

-- 检测潜在的权限冗余（需验证角色间是否真的存在继承关系） WITH permission_check AS ( SELECT CASE WHEN user_name LIKE 'admin%' THEN 'admin_user' WHEN user_name LIKE 'dev%' THEN 'dev_user' ELSE 'regular_user' END as user_type, role_names, CASE WHEN role_names LIKE '%system_admin%' AND role_names LIKE '%workspace_%' THEN '可能存在跨级别冗余（需验证）' WHEN role_names LIKE '%workspace_admin%' AND role_names LIKE '%workspace_user%' THEN '可能存在同级别冗余（需验证）' ELSE '表面无冗余' END as redundancy_check, '建议：实际测试各角色权限以确认是否真的冗余' as action_needed FROM information_schema.users ) SELECT * FROM permission_check WHERE redundancy_check != '表面无冗余';

步骤 5：生成盘点报告

-- 生成空间级权限盘点摘要 WITH summary AS ( SELECT COUNT(DISTINCT user_name) as total_users, COUNT(DISTINCT role_name) as total_roles, SUM(CASE WHEN user_names IS NOT NULL THEN 1 ELSE 0 END) as assigned_roles, SUM(CASE WHEN user_names IS NULL THEN 1 ELSE 0 END) as unassigned_roles FROM information_schema.users CROSS JOIN information_schema.roles ) SELECT '===== 空间级权限盘点报告 =====' as report_header, current_workspace() as workspace_name, total_users || ' 个用户' as user_summary, total_roles || ' 个角色（' || assigned_roles || ' 已分配，' || unassigned_roles || ' 未分配）' as role_summary, ROUND(assigned_roles * 100.0 / total_roles, 1) || '%' as role_utilization, '注意：本报告仅包含当前工作空间数据' as important_notice FROM summary;

六、最佳实践建议

6.1 分级权限管理策略

空间级管理（日常操作）

频率：每月执行
范围：当前工作空间
重点：
- 清理空间内明显的角色冗余
- 处理长期未分配的自定义角色
- 优化空间内用户的角色组合

实例级管理（定期审计）

频率：每季度执行
范围：所有工作空间
重点：
- 审核 system_admin 的全局分配
- 检查跨空间的权限一致性
- 识别跨空间的账号重复

6.2 权限分配决策树

用户需要跨工作空间管理？ ├─ 是 → 考虑分配 system_admin（需实例级审批） └─ 否 → 仅在当前工作空间分配角色 │ 需要管理工作空间？ ├─ 是 → 分配 workspace_admin └─ 否 → 需要开发权限？ ├─ 是 → 分配 workspace_dev └─ 否 → 分配 workspace_user 或其他角色

6.3 避免常见误区

误区	正确做法
认为用户只存在于工作空间中	理解用户首先存在于实例用户池，然后被添加到工作空间
仅凭空间级视图判断实例级角色冗余	需要实例级视图确认其全局使用情况
假设角色间一定存在继承关系	实际测试验证各角色的具体权限
一次性删除所有未使用角色	先了解角色用途，分批处理
混淆实例级和空间级角色的管理位置	实例级角色在实例层面管理，空间级角色在工作空间内管理
在 SQL 中使用已废弃的角色	使用 `instance_admin` instance_admin 替代即将下线的 `system_admin` system_admin

6.4 管理工具选择建议

管理任务	推荐工具	原因
日常用户授权	Studio Web 界面	操作直观，不易出错
批量权限变更	SQL 脚本	效率高，可重复执行
权限审计报表	SQL 查询 + Studio	结合使用效果最佳
实例级管理	Studio 管理控制台	可视化全局视图
自动化监控	API + SQL	适合集成到监控系统

6.5 监控指标建议

空间级指标（可直接监控）
- 角色使用率 = 已分配角色数 / 空间内总角色数
- 用户平均角色数 = 总角色分配数 / 用户数
- 自定义角色占比 = 自定义角色数 / 总角色数
实例级指标（需要全局权限）
- system_admin 分布 = 各空间 system_admin 用户数
- 跨空间用户重复率 = 重复用户数 / 总用户数
- 全局角色标准化程度 = 使用系统角色的空间数 / 总空间数

七、自动化与持续改进

7.1 创建监控视图

-- 创建空间级权限监控视图 CREATE VIEW workspace_permission_monitor AS SELECT current_date() as monitor_date, current_workspace() as workspace, '空间级监控' as monitor_level, COUNT(DISTINCT u.user_name) as user_count, COUNT(DISTINCT r.role_name) as role_count, SUM(CASE WHEN r.user_names IS NOT NULL THEN 1 ELSE 0 END) as active_roles, ROUND( SUM(CASE WHEN r.user_names IS NOT NULL THEN 1 ELSE 0 END) * 100.0 / COUNT(DISTINCT r.role_name), 1 ) as role_usage_percentage, COUNT(DISTINCT CASE WHEN u.role_names LIKE '%system_admin%' THEN u.user_name END) as admin_users FROM information_schema.users u CROSS JOIN information_schema.roles r GROUP BY workspace;

7.2 定期检查脚本

-- 每月执行的权限健康检查 WITH health_check AS ( -- 检查1: 未使用的角色 SELECT 'unused_roles' as check_type, COUNT(*) as issue_count, '存在未分配的角色' as description FROM information_schema.roles WHERE user_names IS NULL OR user_names = '' UNION ALL -- 检查2: 可能的权限冗余 SELECT 'potential_redundancy' as check_type, COUNT(*) as issue_count, '用户可能存在角色冗余' as description FROM information_schema.users WHERE LENGTH(role_names) - LENGTH(REPLACE(role_names, ',', '')) + 1 > 2 UNION ALL -- 检查3: 高权限用户 SELECT 'high_privilege_users' as check_type, COUNT(*) as issue_count, '拥有admin权限的用户' as description FROM information_schema.users WHERE role_names LIKE '%admin%' ) SELECT check_type, issue_count, description, CASE WHEN issue_count > 0 THEN '需要关注' ELSE '正常' END as status FROM health_check ORDER BY issue_count DESC;

八、总结与建议

8.1 核心要点

明确盘点级别：始终清楚你是在进行空间级还是实例级盘点
理解局限性：空间级盘点无法看到全局情况，重大决策需要实例级视角
验证假设：不要假设角色间的继承关系，需要实际验证
善用工具：优先使用 Studio Web 界面进行日常管理，SQL 用于批量操作
持续优化：建立定期审计机制，持续改进权限管理

8.2 行动建议

立即行动：
- 登录 Studio 查看当前权限分布
- 使用本指南的查询语句进行首次空间级盘点
短期计划：
- 在 Studio 中设置权限变更审批流程
- 建立月度权限审计机制
长期目标：
- 实现自动化权限监控和优化
- 建立跨工作空间的权限标准化体系

8.3 获取帮助

如需进行实例级权限审计或有其他问题，请：

在 Studio 中查看帮助文档
联系你的云器 Lakehouse 管理员
查阅云器 Lakehouse 官方文档
提交技术支持工单

附录：快速参考卡

任务	空间级方法	实例级方法
查看所有用户	Studio → 工作空间 → 用户或 `SELECT * FROM information_schema.users` SELECT * FROM information_schema.users	Studio → 管理 → 安全 → 用户
查看所有角色	Studio → 工作空间 → 角色或 `SHOW ROLES` SHOW ROLES	Studio → 管理 → 安全 → 角色
用户授权	Studio 界面操作或 `GRANT ROLE ... TO USER ...` GRANT ROLE ... TO USER ...	Studio 管理控制台
统计角色使用率	本指南 SQL 查询	Studio 报表功能
发现权限冗余	基于当前空间判断	跨空间全面分析
清理无用角色	仅限自定义角色	可全局标准化

注意：本文档基于Lakehouse 2025年6月的产品文档整理，建议定期查看官方文档获取最新更新。在生产环境中使用前，请务必在测试环境中验证所有操作的正确性和性能影响。

联系我们