功能概述

权限管理用于管理数据库用户、角色和权限授权。用户可以创建数据库账号和角色，为用户授予角色，为角色配置数据权限和计算组权限。

页面会根据集群类型、集群角色、用户权限和审批状态控制菜单与操作按钮的展示。备集群和逻辑集群不展示权限管理相关菜单。

进入方式

1. 进入集群详情。
2. 在左侧菜单选择“权限管理”。
3. 根据需要进入“用户”或“角色”页签。

用户管理

用户管理包含“用户”和“角色”两个页签。

用户列表

用户列表展示以下信息：

• 用户账号。
• 来源，包括系统和用户。
• 已授予角色。
• 描述。
• 可用操作。

支持的操作：

• 创建用户。
• 搜索用户账号。
• 刷新列表。
• 编辑用户描述。
• 重置用户密码。
• 删除用户。
• 点击可进入详情的用户账号进入用户详情。

创建用户

操作步骤：

1. 在“用户”页签点击“创建用户”。
2. 输入用户账号。
3. 输入密码并再次确认。
4. 选择默认计算组。
5. 填写描述。
6. 点击“确定”。

填写规则：

• 用户账号以字母开头，支持字母、数字、下划线，最多 64 位。
• 用户账号创建后不可修改。
• 创建用户时必须选择默认计算组。
• 创建后需通过角色分配权限。

重置密码

操作步骤：

1. 在用户列表中点击“重置密码”。
2. 输入新密码并再次确认。
3. 点击“确定”。

注意：重置密码可能导致该账号的连接中断。

删除用户

操作步骤：

1. 在用户列表中点击“删除”。
2. 阅读确认提示。
3. 点击“确定”或“提交审批”。

说明：

• 如果用户没有关联权限，删除成功后立即生效。
• 如果用户有关联权限，删除会提交审批，需等待管理员审批。
• 删除用户后，该用户会失去相关角色关联的数据权限、计算组权限及全局权限。

用户详情

点击可进入详情的用户账号进入用户详情。用户详情包含：

• 描述编辑。
• 授予角色。
• 全局权限。

授予角色

在“授予角色”页签中，可以查看用户当前拥有的角色，并进行授权或撤销授权。

支持的操作：

• 搜索角色名称。
• 授予角色。
• 撤销授权。

授权说明：

• 已授予角色和审批中的角色不可重复选择。
• 授予角色会提交用户角色变更审批。
• 撤销角色会提交撤销授权审批。
• 存在审批流程中的角色暂无法编辑。
• 系统内置角色不可撤销。

全局权限

在“全局权限”页签中，可以查看和编辑用户的全局权限。页面支持的全局权限包括：

• CREATEDB。
• CREATEROLE。
• REPLICATION。
• BYPASSRLS。

编辑全局权限会提交审批。若当前用户无操作权限，或该权限对象存在审批中的变更，编辑入口会被禁用。

角色管理

角色列表

角色列表展示以下信息：

• 角色名称。
• 来源，包括系统和用户。
• 成员用户。
• 描述。
• 可用操作。

支持的操作：

• 创建角色。
• 搜索角色名称。
• 刷新列表。
• 编辑角色描述。
• 删除角色。
• 点击可进入详情的角色名称进入角色详情。

创建角色

操作步骤：

1. 在“角色”页签点击“创建角色”。
2. 输入角色名称。
3. 填写描述。
4. 点击“确定”。

填写规则：

• 角色名称以字母开头，支持字母、数字、下划线，最多 64 位。
• 角色名称创建后不可修改。
• 角色创建后，需要配置数据权限、计算组权限，并授予给用户，实现权限管控。

删除角色

操作步骤：

1. 在角色列表中点击“删除”。
2. 阅读确认提示。
3. 点击“确定”或“提交审批”。

说明：

• 如果角色没有成员或权限关联，删除成功后立即生效。
• 如果角色存在成员或权限关联，删除会提交审批，需等待管理员审批。

角色详情

点击可进入详情的角色名称进入角色详情。角色详情包含：

• 描述编辑。
• 授予用户。
• 数据权限。
• 计算组权限：仅在页面展示该页签时可使用。

授予用户

在“授予用户”页签中，可以查看当前角色已授予的用户，并进行授权或撤销授权。

支持的操作：

• 搜索用户账号。
• 授予用户。
• 撤销授权。

授权说明：

• 已授予用户和审批中的用户不可重复选择。
• 授予用户会提交审批。
• 撤销授权会提交审批。
• 存在审批流程中的用户暂无法编辑。
• 系统内置账号不可撤销。

数据权限

数据权限用于控制角色对数据库、模式、表、视图、序列、函数等数据对象的访问权限。

支持的数据对象：

• 数据库。
• 模式。
• 表。
• 视图。
• 序列。
• 函数。

支持的操作：

• 查看已授权数据对象。
• 按数据库、模式、表、视图、序列、函数搜索。
• 授权数据。
• 编辑数据权限点。
• 提交审批。
• 刷新数据权限列表。

搜索格式：

• 搜索数据库：输入数据库名。
• 搜索模式：输入“数据库.模式”。
• 搜索表、视图、序列、函数：输入“数据库.模式.对象名”。

授权方式：

• 批量授权：对数据库或模式及其子对象授予全量权限。
• 细粒度授权：针对所选数据库、模式、表、视图、序列或函数选择具体权限点。

数据权限编辑流程：

1. 在左侧权限树选择数据对象。
2. 在右侧查看当前权限点。
3. 点击编辑图标调整权限点，形成待提交变更。
4. 或点击“授权数据”，批量增加授权对象。
5. 页面以“待提交”标识草稿变更。
6. 点击“提交审批”提交数据权限变更。

注意事项：

• 授权数据或编辑权限点不会立即生效，需要先形成待提交变更，再点击“提交审批”。
• 当没有待提交变更时，“提交审批”不可用。
• 当数据对象存在审批中的变更时，暂无法编辑。
• 无操作权限时，授权和编辑入口会被禁用。

计算组权限

当页面展示“计算组权限”页签时，可为角色授权计算组使用权限。

支持的操作：

• 搜索计算组名称。
• 授权计算组。
• 撤销授权。

说明：

• 已授权计算组和审批中的计算组不可重复选择。
• 授权计算组会提交审批。
• 撤销计算组权限会提交审批。
• 计算组存在进行中的审批时，暂无法操作。

常见限制

• 正在审批中的权限对象、用户或角色，相关编辑操作会被禁用。
• 系统内置用户、角色或授权关系可能不可删除或不可撤销，具体以页面提示为准。
• 创建用户后需通过角色分配权限。
• 授权数据或编辑权限点不会立即生效，需要先形成待提交变更，再提交审批。