第5.2章:StarRocks用户、角色与权限

最新推荐文章于 2024-05-16 11:09:42 发布
最新推荐文章于 2024-05-16 11:09:42 发布
阅读量6.6k 收藏 14
点赞数 3
文章标签: mysql 数据库 database big data 数据仓库
本Blog原创文章未经本人许可,不得用于商业用途。转载请注明出处,不然保留追究法律责任的权利。
本文链接:https://blog.csdn.net/ult_me/article/details/123313617
版权

StarRocks的权限管理参照了MySQL的权限管理机制,支持表级别细粒度的权限控制、基于角色的权限访问控制,咱们这里整体梳理一下。

1、创建角色

CREATE ROLE role_name;

该语句创建一个无权限的角色,后续可以通过GRANT命令赋予该角色权限。

2、创建用户

CREATE USER user_identity [IDENTIFIED BY 'password'] [DEFAULT ROLE 'role_name'];

在StarRocks中,一个user_identity唯一标识一个用户。

user_identity:'user_name'@'host',拆分来说:

username:你将创建的用户名。

host:指定该用户在哪个主机上可以登陆,如果是本地用户可用localhost,如果想让该用户可以从任意远程主机登陆,可以使用通配符%代替username。

password:该用户的登陆密码,密码可以为空,如果为空则该用户可以不需要密码即可登陆服务。

role:如果指定了角色(ROLE),则会自动将该角色所拥有的权限赋予新创建的这个用户。如果不指定,则该用户默认没有任何权限。指定的 ROLE 必须已经存在。

示例:

  • 创建一个无密码用户(不指定host,则等价于jack@'%')
CREATE USER 'jack';
  • 创建一个有密码用户,允许从'172.10.1.10'登陆
CREATE USER jack@'172.10.1.10' IDENTIFIED BY '123456';

为了避免传递明文,上述示例也可以使用下面的方式来创建:

先通过PASSWORD()计算出加密后的密码,例如:

SELECT PASSWORD('123456');

得到结果为:*6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9

创建用户:

CREATE USER jack@'172.10.1.10' IDENTIFIED BY PASSWORD '*6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9';

在登录时,我们还需使用未加密前的密码登录。

  • 创建一个允许从'192.168.*.*'子网登陆的用户,同时指定其角色为example_role
CREATE USER 'jack'@'192.168.%' DEFAULT ROLE 'example_role';
  • 创建一个用户,并指定一个角色
CREATE USER 'jack'@'%' IDENTIFIED BY '123456' DEFAULT ROLE 'my_role';

3、修改用户名[不支持]

4、删除角色

DROP ROLE role_name;

删除一个角色不会影响之前属于该角色的用户的权限,仅相当于将该角色与用户解耦,而用户已经从该角色获取到的权限维持不变。

5、删除用户

DROP USER 'user_identity';

依据user_identity删除用户帐号,例如删除用户jack@'192.%':

DROP USER 'jack'@'192.%';

6、查看角色

1)查看已创建的所有角色

展示所有已创建的角色信息,包括角色名称,包含的用户以及权限:

SHOW ROLES;

2)查看当前用户角色[不支持]

7、查看用户

1)查看所有用户

SHOW ALL GRANTS;

SHOW PROC '/auth';

2)查看当前用户

SELECT CURRENT_USER();  --显示用户

SELECT USER();  --显示用户及访问客户端的IP

8、授予用户权限

GRANT privilege_list ON db_name[.tbl_name] TO user_identity;

GRANT privilege_list ON RESOURCE resource_name TO user_identity;

1)privilege_list

是需要赋予的权限列表,以逗号分隔。当前StarRocks支持的权限基本分为三类:

节点权限:NODE_PRIV

库表权限:SELECT_PRIV,LOAD_PRIV,ALTER_PRIV,CREATE_PRIV,DROP_PRIV,ALL(前面所有)

资源权限:USAGE_PRIV

具体权限介绍:

NODE_PRIV:集群节点操作权限,包括节点上下线等操作,只有root用户有该权限,不可赋予其他用户。

ADMIN_PRIV:除NODE_PRIV以外的所有权限。

GRANT_PRIV:操作权限的权限。包括创建删除用户、角色,授权和撤权,设置密码等。

SELECT_PRIV:对指定的库或表的读取权限(Select操作)。

LOAD_PRIV:对指定的库或表的导入权限(Insert或Delete操作)。

ALTER_PRIV:对指定的库或表的schema变更权限。(Alter操作)

CREATE_PRIV:对指定的库或表的创建权限(Create Table或Create View操作)。

DROP_PRIV:对指定的库或表的删除权限。

USAGE_PRIV:对指定资源的使用权限[参见Spark Load章节]。

2)db_name[.tbl_name]

授予权限的数据库及表,支持以下三种形式:

*.* 权限可以应用于所有库及其中所有表

db.*权限可以应用于指定库下的所有表

db.tbl权限可以应用于指定库下的指定表

3)user_identity

语法同CREATE USER。且必须为使用CREATE USER创建过的user_identity。其中的host可以是域名,如果是域名,权限的生效时间可能会有约1分钟的延迟。

示例:

  • 授予所有库和表的读取权限给用户
GRANT SELECT_PRIV ON *.* TO 'jack'@'%';
  • 授予指定库表的指定权限给用户
GRANT SELECT_PRIV,ALTER_PRIV,LOAD_PRIV ON db1.tbl1 TO 'jack'@'192.8.%';
  • 授予所有资源的使用权限给用户
GRANT USAGE_PRIV ON RESOURCE * TO 'jack'@'%';
  • 授予指定资源的使用权限给用户
GRANT USAGE_PRIV ON RESOURCE 'spark_resource' TO 'jack'@'%';

4)权限查看

查看当前用户权限:

SHOW GRANTS;

查看所有用户权限:

SHOW ALL GRANTS;

查看指定用户权限:

SHOW GRANTS FOR user_identity;

9、授予角色权限

类似上文授予用户权限,将权限赋予指定的ROLE,如果指定的ROLE不存在,则会自动创建。

GRANT privilege_list ON db_name[.tbl_name] TO ROLE 'role_name';

GRANT privilege_list ON RESOURCE resource_name TO ROLE 'role_name';

例如:

授予指定库的所有表的导入权限给角色

GRANT LOAD_PRIV ON db1.* TO ROLE 'my_role';

授予指定资源的使用权限给角色

GRANT USAGE_PRIV ON RESOURCE 'spark_resource' TO ROLE 'my_role';

10、撤销用户权限

REVOKE privilege_list ON db_name[.tbl_name] FROM user_identity;

REVOKE privilege_list ON RESOURCE resource_name FROM user_identity;

user_identity:语法同CREATE USER,且必须为使用CREATE USER创建过的user_identity。user_identity中的host可以是域名,如果是域名,权限的撤销时间可能会有约1分钟的延迟。

示例:

撤销用户jack关于数据库db1的权限

REVOKE SELECT_PRIV ON db1.* FROM 'jack'@'192.%';

撤销用户jack使用资源spark_resource的权限

REVOKE SELECT_PRIV ON db1.* FROM 'jack'@'192.%';

11、撤销角色权限

REVOKE privilege_list ON db_name[.tbl_name] FROM ROLE 'role_name';

REVOKE privilege_list ON RESOURCE resource_name FROM ROLE 'role_name';

按角色撤销权限时,role_name需指向已存在的角色。

12、给用户添加角色[不支持]

当前只能在新建用户时指定对应角色。

13、修改用户登录密码

SET PASSWORD [FOR user_identity] = [PASSWORD('plain password')]|['hashed password'];

SET PASSWORD命令可以修改一个用户的登录密码。如果[FOR user_identity]字段不存在,那么修改当前用户的密码。注意这里的user_identity必须完全匹配在使用CREATE USER创建用户时指定的user_identity,否则会报错用户不存在。如果不指定user_identity,则当前用户为'username'@'ip',这个当前用户,可能无法匹配任何user_identity。

修改其他用户的密码,需要具有管理员权限。

修改密码时,也可以使用PASSWORD()函数将明文密码转换为加密的密码。如果不使用PASSWORD()函数,则需要直接指定加密后的密码。

SET PASSWORD = PASSWORD('123456');

或:

SELECT PASSWORD('123456');

得到结果为:*6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9

设置密码:

SET PASSWORD = '*6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9';

14、设置用户属性

SET PROPERTY [FOR 'user'] 'key' = 'value' [, 'key' = 'value']

这里设置的用户属性,是针对user的,而不是user_identity。目前该参数主要用于修改用户的最大连接数,例如:

修改用户jack最大连接数为1000:

SET PROPERTY FOR 'jack' 'max_user_connections' = '1000';

15、查看用户属性;

SHOW PROPERTY FOR 'user';

流木d
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
starrocks-2.3.1.tar.gz
09-16
starrocks-2.3.1.tar.gz
StarRocks(四)StarRocks的使用
Yuan_CSDF的博客
01-04 5032
1、Colocate join shuffle join 和 broadcast join 中,参与 join 的两张表的数据行,若满足 join 条件,则需要将它们汇合在一个节点上,完成 join。这两种 join 方式,都无法避免节点间数据网络传输带来额外的延迟和其他开销。而 colocation join 则可避免数据网络传输开销,核心思想是将同一个 Colocation Group 中表,采用一致的分桶键、一致的副本数量和一致副本放置方式,因此如果 join 列为分桶键,则计算节...
starrocks 用户权限管理
m0_46657040的博客
10-19 1187
starrocks 用户权限学习
starrock或Doris创建新用户并赋权
Davina_yu的博客
06-08 1199
Doris创建新用户
第1.5:StarRocks部署--集群部署
流木的博客
12-04 7806
StarRocks作为新一代MPP数据库,集群部署才能充分发挥其彪悍的查询性能。生产环境下我们也推荐进行集群化部署,本内容我们就模拟生产环境下StarRocks集群部署。 1集群部署注意事项 在部署StarRocks生产环境前,我们需要根据业务需求设计严谨的集群架构,一般来说,我们需要注意以下几项: 1.1 FE的数量及是否需要FE的高可用 FE的Follower要求为奇数个,且并不建议部署太多,通常我们推荐部署1个或3个Follower。在三个Follower时,即可实现高可用(HA)。此时,.
sql server ,mysql,starrocks性能对比.docx
04-15
sql server ,mysql,starrocks
starrocks-spark-connector
04-14
Spark Starrocks 批量写入,完美适配spark3.12
EMR StarRocks 白皮书.pdf
01-25
EMR StarRocks 白皮书.pdf
基于ClickHouse+StarRocks构建支撑千亿级数据量的高可用查询引擎.pdf
04-23
基于ClickHouse+StarRocks构建支撑千亿级数据量的高可用查询引擎
python学习-使用pandas库分析excel表,并导出所需的表
最新发布
SixSix的自留地
05-16 112
使用pandas库分析excel表中多个子表的数据
mybatis 跨库查询 mysql
zzhongcy的专栏
05-11 419
跨库,表关联的查询,实现起来很简单:selecta.uidfrom只要在表的前边加上库名即可。
js遇到需要正则匹配来修改img标签+清除行内样式
阿乐的博客
05-14 303
遇到特殊的情况就是自带样式,那么方法一就不能用了,因为只会算是从原有字符串上面多加字符串。这个正则表达式就是匹配所有的。//踩坑完毕,可以直接使用。第二行代码按自己需要改改。
MySql软件安装
m0_62731842的博客
05-12 423
1.打开mysql官网网址 MySQL :: Download MySQL Community Server 2.本次针对版本8的图形化界面安装,下载成功后接下来对MySQL进行安装 3.图形化下载后有一个MSI文件 4.我们安装典型即可,选择第一个 5.选择数据库信息存放的路径,我默认放在C盘不做改变 6.MySQL平时作为一些应用的数据提供者,选择服务类型即可 7.端口号(暴露的端口号便于我们连接数据库,进行相关数据操作)可以修改,但我们平常使用的端口号是33
Docker 安装 MySQL(Mac电脑M芯片)
wenqi1992的博客
05-13 193
Docker 安装 MySQL,并用 DBeaver 工具连接MySQL
MySQL-InnoDB数据存储结构
我姓谭却弹不死你的博客
05-13 864
MySQL-InnoDB数据存储结构
MySQL监控与诊断:从SHOW命令到第三方监控工具
Dxy1239310216的博客
05-09 915
MySQL的监控和诊断是确保数据库性能和稳定性的关键步骤。通过使用MySQL的内置工具(如SHOW命令和INFORMATION_SCHEMA)以及第三方监控工具,我们可以获取全面的监控数据,并进行有效的性能调优和故障诊断。在选择监控工具时,我们需要根据实际需求进行评估和选择,以确保获得最佳的监控和诊断效果。
MYSQLMySQL 事务隔离级别详解
永远保持随时离开的技术能力!
05-12 720
MYSQLMySQL 事务隔离级别详解
mysql的存储结构
qq_35693377的博客
05-12 339
ibd文件大小取决于数据和索引,在5.7之后才会为每个表生成一个独立表空间即一个ibd文件,在此之前,所有表默认下都会存储在“系统表空间”(共享表空间),所有表都在一个ibd文件。
Caused by: org.apache.seatunnel.connectors.seatunnel.starrocks.exception.StarRocksConnectorException: ErrorCode:[STARROCKS-01], ErrorDescription:[Flush batch data to sink connector failed] - Failed to flush data to StarRocks. Too many versions, please reduce your insert/load request rate. tablet_id: 2244205, version_count: 1001, limit: 1000, replica_state: 1 {"TxnId":3266201,"Label":"663d4868-8a9e-4956-8e4c-48624f0c7a63","Status":"Fail","Message":"Too many versions, please reduce your insert/load request rate. tablet_id: 2244205, version_count: 1001, limit: 1000, replica_state: 1","NumberTotalRows":0,"NumberLoadedRows":0,"NumberFilteredRows":0,"NumberUnselectedRows":0,"LoadBytes":67257311,"LoadTimeMs":681,"BeginTxnTimeMs":0,"StreamLoadPlanTimeMs":1,"ReadDataTimeMs":134,"WriteDataTimeMs":679,"CommitAndPublishTimeMs":0} at org.apache.seatunnel.connectors.seatunnel.starrocks.client.StarRocksStreamLoadVisitor.doStreamLoad(StarRocksStreamLoadVisitor.java:107) at org.apache.seatunnel.connectors.seatunnel.starrocks.client.StarRocksSinkManager.flush(StarRocksSinkManager.java:114) ... 17 more
06-07
这是一个来自StarRocksConnector的异常,错误码为STARROCKS-01,错误信息为“Flush batch data to sink connector failed”,意思是将批量数据刷新到sink connector失败。具体原因是因为版本过多,需要减少插入/加载请求的速率,tablet_id为2244205,版本计数为1001,限制为1000,副本状态为1。建议您减少请求速率,降低版本计数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值