本文为您介绍在实时数仓Hologres中简单权限模型(Simple Permission Model,SPM)的函数调用说明,您可以通过调用相关函数管理简单权限模型。
函数概述
简单权限模型的函数及其功能说明如下所示。
spm_enable:开启简单权限模型。
spm_migrate:将已有实例对象(包括表、视图及外表等)切换至SPM权限模型。
spm_create_user:创建仅具有登录权限的用户,您需要授予其具体的权限才能进行开发。
spm_grant:将某个用户加入到某个用户组。
spm_revoke:将某个用户从某个用户组中移除。
spm_disable:关闭当前DB简单权限模型。
spm_cleanup:清除DB的SPM保留用户组。
spm_enable
函数介绍
spm_enable()函数用于开启简单权限模型。
调用spm_enable()函数后,系统将会自动创建{db}_admin、{db}_developer、{db}_writer和{db}_viewer 4个用户组。
命令语法
CALL spm_enable();说明仅实例的Superuser可以执行spm_enable()函数。
使用说明
调用spm_enable()函数成功开启SPM的使用说明如下:
DB的所有权限从PUBLIC用户组收回。因此,不相关的用户将不能连接到目标DB。
DB下所有Schema的所有权限从PUBLIC用户组收回。
{db}_admin、{db}_developer、{db}_writer和{db}_viewer都具有DB的连接权限。
{db}_admin将作为DB的Owner以及DB下所有Schema的Owner。
{db}_developer、{db}_writer和{db}_viewer具有所有Schema的USAGE权限,{db}_developer具有所有Schema的CREATE权限。
{db}_admin和{db}_developer未来创建的对象,Owner都是{db}_developer。{db}_writer具有读写(readwrite)权限,{db}_viewer具有只读(readonly)权限。
spm_migrate
函数介绍
spm_migrate()函数用于将已有实例对象(包括表、视图及外表等)切换至SPM权限模型。
命令语法
CALL spm_migrate( [ batch_size ] );参数说明如下表所示。
参数
描述
取值范围
batch_size
单次批量迁移对象的大小。
取值为0代表采用当前max_locks_per_transaction作为batch_size。
[0, max_locks_per_transaction],超出该范围则不合法。其中
max_locks_per_transaction最大取值为64.如果您的实例中有大量的对象(超过数千甚至数万)需要切换至简单权限模型,需要您多次执行spm_migrate()函数,直到全部对象切换完成为止。
同时,建议您加入实时数仓Hologres交流群申请将max_locks_per_transaction参数调大,再执行操作,加群方式请参见如何获取更多的在线支持?。
使用说明
调用spm_migrate()函数时,当遇到
DONE BUT NOT COMPLETED提示,说明全部对象还没有迁移完毕,您需要继续执行spm_migrate()迁移。当遇到
COMPLETED提示,说明全部对象已经迁移完毕。
使用示例
CALL spm_migrate(); //切换最多max_locks_per_transaction个对象至SPM管理。 CALL spm_migrate(128); // 切换128个对象至SPM管理。
spm_create_user
函数介绍
spm_create_user()函数用于在SPM中创建用户。创建的用户仅具有登录权限,您需要授予其具体的权限才能进行开发。
说明仅Superuser和{db}_admin的成员可以调用该函数。
命令语句
CALL spm_create_user( user_name [, role_name] );参数说明如下表所示。
参数
描述
user_name
需要创建的用户名。格式如下:
阿里云账号,例如13432193xxxx或者xx@aliyun.com。
RAM用户账号,例如RAM$mainaccount:subuser或者p4_202338382183xxx。
role_name
创建用户时可以根据业务需求选择将用户加入如下用户组:
{db}_admin
{db}_developer
{db}_writer
{db}_viewer
使用示例
CALL spm_create_user('my_test@aliyun.com'); CALL spm_create_user('RAM$my_test:mysubuser', 'mydb_developer'); CALL spm_create_user('13532313103042xxx'); CALL spm_create_user('p4_23319103042xxx', 'mydb_admin');
spm_grant
函数介绍
spm_grant()函数用于将某个用户加入到{db}_admin、{db}_developer、{db}_writer或{db}_viewer用户组。
说明仅Superuser和{db}_admin可以调用该函数。
命令语法
CALL spm_grant( role_name, user_name );参数说明如下表所示。
参数
描述
role_name
可以根据业务需求选择将用户加入如下用户组:
{db}_admin
{db}_developer
{db}_writer
{db}_viewer
关于用户组的权限说明,请参见简单权限模型概述。
user_name
需要被添加进用户组的用户名。格式如下:
阿里云账号,例如13432193xxxx或者xx@aliyun.com。
RAM用户账号,例如RAM$mainaccount:subuser或者p4_202338382183xxx。
使用说明
只有开启简单权限模型后才能调用该函数。
user_name必须是云账号ID或者云账号。
role_name必须是{db}_admin、{db}_developer、{db}_writer或{db}_viewer用户组。
使用示例
CALL spm_grant('mydb_developer', 'p4_202338382183xxx');//授予RAM用户mydb的developer权限。 CALL spm_grant('mydb_admin', 'RAM$my_test:xxx');//授予RAM用户mydb的admin权限。 CALL spm_gran('otherdb_admin', '13532313103042xxx'); // 错误,加入其他DB的角色请连接到其他DB执行spm_grant函数。
spm_revoke
函数介绍
spm_revoke()函数用于将某个用户从{db}_admin、{db}_developer、{db}_writer或{db}_viewer用户组中移除。
说明仅Superuser和{db}_admin可以调用该函数。
命令语法
CALL spm_revoke( role_name, user_name );使用说明
只有开启简单权限模型后才能调用该函数。
user_name必须是云账号ID或者云账号。
role_name必须是{db}_admin、{db}_developer、{db}_writer或{db}_viewer用户组。
使用示例
CALL spm_revoke('mydb_developer', 'p4_202338382183xxx');//将RAM用户从mydb的developer用户组移除。 CALL spm_revoke('mydb_admin', 'RAM$my_test:xxx');//将RAM用户从mydb的admin用户组移除。 CALL spm_revoke('otherdb_admin', '13532313103042xxx'); // 错误,移出其他DB的用户组请连接到其他DB执行spm_revoke。
spm_disable
函数介绍
spm_disable()函数用于为当前DB关闭简单权限模型。
说明仅Superuser可以调用该函数。
命令语句
CALL spm_disable();使用说明
关闭SPM的说明如下:
{db}_admin、{db}_developer、{db}_writer和{db}_viewer用户组继续保留,可以使用专家模式授权语句将用户加入对应用户组来做权限管理,数据库对象Owner保持不变(仍然是{db}_developer)。
DB的CONNECT,TEMPORARY权限向PUBLIC开放。
DB中public schema的USAGE,CREATE权限向PUBLIC开放。
DB中public schema中function,procedure的EXECUTE权限向PUBLIC开放。
用户定义的LANGUAGE的USAGE权限向PUBLIC开放。
用户定义的TYPE的USAGE权限向PUBLIC开放。
使用示例
CALL spm_disable();
spm_cleanup
函数介绍
spm_cleanup()函数用于清除DB的SPM保留用户组,包括{db}_admin、{db}_developer、{db}_writer和{db}_viewer。
说明仅Superuser可以调用此函数。
命令语句
CALL spm_cleanup( db_name [, batch_size ] );参数说明如下表所示。
参数
描述
取值范围
db_name
需要清除用户组的DB。包含特殊字符或大写字母的db_name用双引号引起来。例如
“MYDB”。无
batch_size
单次批量迁移对象的大小。
取值为0代表采用当前max_locks_per_transaction作为batch_size。
[0, max_locks_per_transaction],超出该范围则不合法。
如果您的实例中有大量的对象(超过数千甚至数万)需要迁移,可能会导致锁溢出,需要您多次执行spm_migrate()函数,直到全部对象迁移完成为止。
同时,建议您加入实时数仓Hologres交流群申请将max_locks_per_transaction参数调大,再执行迁移操作,加群方式请参见如何获取更多的在线支持?。
使用说明
当遇到
DONE BUT NOT COMPLETED提示,说明全部对象还没有迁移完毕,并且未删除保留用户组,您需要继续执行spm_cleanup()函数。当遇到
COMPLETED提示,说明全部对象已经迁移完毕,并已删除保留用户组,无需再调用此函数。
使用示例
CALL spm_cleanup('mydb'); //单次最多将max_locks_per_transaction个对象转移Owner到current_user。 CALL spm_cleanup('mydb', 128);//单次转移128个对象的Owner到current_user。场景1:删除对应DB,再清除用户组。
drop database mydb; CALL spm_cleanup('mydb'); // 无需重试,一次成功。场景2:在DB仍然存在的情况下,需要连接到对应DB进行清除。
CALL spm_cleanup('otherdb'); ERROR: Permission Denied. execute in database otherdb, or drop database before call spm_cleanup.
功能函数调用权限
用户组对功能函数调用的权限如下表所示。
功能函数 | 作用 | Superuser | db_admin | db_developer | db_writer | db_viewer |
spm_enable | 开启简单权限模型。 | 是 | 否 | 否 |
spm_disable | 关闭简单权限模型。 | 是 | 否 | 否 |
spm_grant | 将user加入组。 | 是 | 是 | 否 |
spm_revoke | 将user移出组。 | 是 | 是 | 否 |
spm_migrate | 将已有的表或类表对象等迁移至SPM管理。 | 是 | 是 | 否 |
spm_cleanup | 删除DB所有保留用户组。 | 是 | 否 | 否 |
spm_create_user | 创建简单用户并该用户仅拥有登录权限。 | 是 | 是 | 否 |
相关权限命令限制
开启简单权限模型之后,部分权限相关命令会受到限制,不能在简单模型中使用的命令如下表所示。
命令语句 | 说明 |
alter table owner to xx | 所有table owner都自动是对应Schema的developer用户组,不能更改,无需手动更改。 |
grant | 通过 |
revoke | 通过 |
alter default privileges | 在原权限模型下,授权只对当前以及过去的表有权限,未来表还需要重新授权。在简单模型下,无需考虑建表的时态,只需要加入某个用户组就能拥有对应的权限,因此无需再给未来表授权。 |
create role / drop role / alter role / alter role set默认用户组 | db_admin、db_developer、db_writer及db_viewer为系统默认用户组,在开启简单权限模型后,会默认生成,不允许用户(包括Superuser)对默认用户组进行创建或修改。 |
rename to/from默认用户组 | 不可以对保留用户组 |