配置权限
创建管理控制台 (Management Console) (MC) 用户时,您要向他们分配 MC 配置访问级别(角色)。MC 角色控制着用户在 MC 界面上能否创建用户和管理 MC 设置。
您可以向用户分配以下 MC 访问级别之一:
-
ADMIN 角色 (MC):可完全访问所有 MC 功能。
-
Manager 角色 (MC):可访问 MC 用户管理功能。可访问与数据库无关的 MC 警报。
-
IT 角色 (MC):可有限访问 MC 用户管理功能。可访问 MC 日志以及与数据库无关的 MC 警报。
-
[NONE 角色 (MC)](#NONE Rol):仅限数据库访问,可访问管理员向该用户分配的数据库。
创建用户帐户的同时,您可以在“MC 设置 (MC Settings)”页面的“用户管理 (User Management)”选项卡上授予 MC 配置权限。您可以使用此页面更改 MC 访问级别。有关详细信息,请参阅创建 MC 用户。
您还可以使用“用户管理 (User Management)”选项卡授予用户对 MC 管理的一个或多个数据库的访问权限。有关详细信息,请参阅数据库权限。
SUPER 角色 (MC)
在 MC UI 上称作 Super 的默认超级用户管理员是安装和配置 MC 时创建的 Linux 用户帐户。在配置过程中,您可以向 Super 分配您所需的任意名称,但 dbadmin 除外。
作为 ADMIN 角色 (MC) 的超集的 MC SUPER 角色拥有以下权限:
-
监管整个管理控制台 (Management Console),包括所有由 MC 管理的数据库群集
注意
将 Vertica 数据库导入 MC 时,此用户会继承所提供的用户名的权限/角色。Vertica 建议您使用数据库管理员的凭据。 -
创建第一个 MC 用户帐户,并向其分配 MC 配置角色
-
通过向每个用户分配 数据库权限,授权 MC 用户对一个或多个由 MC 管理的 Vertica 数据库的访问权限
MC 超级管理员帐户是唯一的。与您创建的其他 MC 用户(包括其他 MC 管理员)不同,MC 超级帐户无法更改或删除,而且您不能向其他 MC 用户授予 SUPER 角色。您唯一可以更改的 MC 超级帐户属性是密码。此外,SUPER 角色在 MC 上拥有与 ADMIN 角色 (MC) 相同的权限。
在 MC 管理的 Vertica 数据库中,SUPER 拥有与 ADMIN 角色 (DB) 相同的权限。
LDAP 服务器内不存在 MC 超级帐户。此帐户与在 Vertica 安装期间创建的特殊 dbadmin 帐户也不同,后者的权限由 DBADMIN 控制。Vertica 创建的 dbadmin 是一个 Linux 帐户,它拥有数据库编录和存储位置,且可以绕过创建或删除架构、角色和用户等数据库授权规则。MC 超级帐户不具有与 dbadmin 相同的权限。
ADMIN 角色 (MC)
此用户帐户为可以对管理控制台 (Management Console) 执行所有管理操作的用户,包括配置和重新启动 MC 进程,以及添加、更改和移除所有用户帐户。默认情况下,MC 管理员可继承用于在 MC 界面上设置数据库的主要数据库用户帐户的数据库权限。因此,MC 管理员有权访问所有受 MC 管理的数据库。将 ADMIN 角色授予您希望成为 MC 管理员的用户。
此 ADMIN 用户和默认 Linux 帐户(即 MC [SUPER 角色](#SUPER Ro))之间的差异在于,您不能更改或删除 MC SUPER 帐户,而且您不能将 SUPER 角色授予任何其他 MC 用户。但是,您可以更改其他 MC 管理员的访问级别,并且您可以将此用户的帐户从 MC 界面中删除。
此外还有一个 ADMIN 角色 (DB),可控制用户对 MC 管理的数据库的访问权限。这两个 ADMIN 角色很相似,但并不相同,而且您无需向具有 ADMIN (mc) 角色的用户授予 ADMIN (db) 角色,因为 MC ADMIN 用户可以自动继承在 MC 上创建或导入到 MC 的主数据库用户帐户的所有数据库权限。
MANAGER 角色 (MC)
获授 Manager 角色的用户可以在 MC 中配置用户设置。Manager 角色允许用户完全访问“MC 设置 (MC Settings)”中的“用户管理 (User Management)”选项卡。Manager 还可以在主页上查看 MC 监控的数据库的完整列表,查看 MC 日志,并查看与数据库无关 MC 警报。
Manager 角色拥有与 IT 配置角色类似的配置权限。但与 IT 用户不同的是,Manager 还可以在“用户设置 (User Settings)”中创建、编辑和删除用户。
IT 角色 (MC)
MC IT 用户可以监控所有 MC 管理的数据库,查看 MC 级别(非数据库)消息、日志和警报,禁用或启用用户对 MC 的访问权限,以及重置非 LDAP 用户密码。您还可以分配 MC IT 用户特定的数据库权限,可通过将 IT 用户映射为数据库上的用户完成此操作。这样,MC IT 用户可继承分配给其映射到的数据库用户的权限。
此外还有一个 IT 角色 (IT),可控制用户对 MC 管理的数据库的访问权限。如果为一个 MC 用户授予两个 IT 角色,这意味着该用户可以在 MC 上执行一些配置,还可以访问一个或多个 MC 管理的数据库。数据库映射不是必需的,但是它能够给予 IT 用户更多权限。
NONE 角色 (MC)
MC 上所有新创建的用户的默认角色为 NONE,这可阻止授予此角色的用户配置 MC。创建具有 NONE 角色的 MC 用户时,您可以为他们授予 MC 数据库级别角色。此分配可将 MC 用户映射到指定数据库上的用户帐户,并指定 NONE 用户可继承他或她映射到的数据库用户的权限。
要向具有 NONE 权限的用户授予 ADMIN (db)、IT (db) 或 USER (db) 中的哪种数据库级别角色取决于您想让该用户在 MC 管理的数据库中拥有哪种访问级别。数据库角色对 MC 配置级别的 ADMIN 和 IT 角色没有影响。
各用户角色的 MC 配置权限
您可以按 MC 角色授予以下配置权限。