快速开始 PieCloudDB Database：管控平台权限系统

1. 前言

在《快速开始 PieCloudDB》中，我们了解了如何在 PieCloudDB Database 创建账号，进行数据上传、查询和邀请用户。本文承接《快速开始 PieCloudDB》，将对管控平台如权限管理、外部接入等进阶操作通过实例进行介绍和演示。

2. 账户实体

PieCloudDB 以账户实体的形式是账户在数仓实例中具象体现，每一个 PieCloudDB 账户都拥有四类账户实体，如下图所示。

其中：

• 用户实体代表该账户下所有附属用户。用户可以创建并成为数据库对象的所有人，并通过权限系统和角色将数据库对象权限下放给特定角色下的其他用户。
• 角色实体可以实现系统和数据库权限的分配，PieCloudDB 系统中共有四个预设角色，我们会在后续进行介绍。
• 虚拟数仓实体代表计算资源。有相关权限的用户，可在账户下创建提供计算支持的虚拟数仓。
• 功能模块实体为 PieCloudDB 数据功能的集合，包括数据洞察、数据集成等。这些功能通过虚拟数仓的支持，完成查询、ETL 等与数据相关的操作。

对 PieCloudDB 账户实体整体情况了一个大致的认识后，接下来我们深入细节，进一步了解 PieCloudDB 权限系统的核心：角色功能。

3. 角色

PieCloudDB 权限管理系统是以角色为管理单位的权限管理工具。

角色是用户权限概念的具象化，代表了权限的集合。权限以角色的方式下放给各个用户。一个角色可对应一个用户，也可对应一类用户。用户与角色并非一对一关系，一个用户可被授予多个角色，而一个角色可被授予给多个用户。每个用户都会被赋予至少一种角色，每一种角色都有其对应的权限。

PieCloudDB 角色权限分为数据库对象权限和系统权限两部分。数据库对象权限对应账户内各角色的数据权限，且只有数据库对象所有者可管理相应权限。而系统权限对应各角色管控平台的功能权限，其中包括计算资源的管理权限。

4. 赋予与继承

继承是权限以角色的形式传递给另一个角色的动作。继承的角色在层级上要高于被继承的角色，且继承角色的权限与被继承角色的权限保持一致，意味着即使收回继承角色所继承的权限，该权限状态会与被继承角色保持一致，并不会被收回。一个角色可以继承另一个角色的权限。继承的权限即使被改动，状态也会与被继承角色相对应的权限保持一致。继承关系使得各角色间呈现一个角色层次结构。

赋予是权限以角色的形式下放给用户的动作。拥有角色管理权的角色，可将角色及其权限赋予给用户。

5. 系统预设角色

PieCloudDB 中，每个账户都预设了四个角色：

• 普通使用者是 PieCloudDB 预设角色中最基础的角色。每一位新用户在创建后都会自动被授予普通使用者角色，拥有如访问数据库、进行数据洞察等一些基础功能的权限
• 用户管理员继承普通使用者权限，主要负责用户及角色的权限管理，可邀请、添加、审核新用户、删除已有用户，有权创建、删除角色，管理各角色对应的系统权限
• 数据管理员继承普通使用者，主要负责数据库对象权限、计算资源管理，有权使用数据集成功能。数据管理员可以创建、更改、删除和监控虚拟数仓，除账户管理员外，其他预设角色只有权查询、使用虚拟数仓
• 账户管理员是账户权限管理系统中等级最高的存在，继承数据库管理及用户管理员权限，也是账户的计费单位。账户管理员可以将权限以角色的方式下放给其他用户进行管理

预设角色系统权限详情及继承关系如下图所示：

这些预设角色不可被删除。在通常情况下，建议系统角色由不同用户承担，管理员类角色尽量使用 PieCloudDB 系统预设角色。

6. 赋权步骤

在这一部分，我们将从账户管理员起步，演示创立自定义角色的过程，具体步骤如下图所示。

假设账户管理员已将用户管理员及数据库管理员赋予了相应的用户，用户管理员可为新用户组建立自定义角色，并对该角色的系统权限进行设置。<