管理角色和特权
角色是分配给用户的一组特权,用于允许用户在 IBM® watsonx.data中执行和管理某些任务。
watsonx.data 提供了一组预定义角色: 管理员,用户,管理员,作家和读者。
使用“访问控制”页面来管理 watsonx.data中的用户和角色。 有关更多信息,请参阅管理用户访问权。
下表描述了可以分配给角色和关联许可权的特权:
实例和安装
缺省管理访问权
构成管理员 (IAM) 具有缺省管理员访问权。
缺省用户访问权
IAM 构成非管理员 (操作员,编辑者和查看者) 具有缺省用户访问权。
资源级别许可权
| 操作 | Admin | 用户 | Metastore 访问 |
|---|---|---|---|
| 创建 Presto (Java) 或 Presto (C++) 引擎 | ✓ | ||
| 创建或注册 Spark 引擎 | ✓ | ||
| 创建 Milvus 服务 | ✓ | ||
| 删除Milvus服务 | ✓ | ||
| 查看 Milvus 服务 | ✓ | ||
| 重新启动内部 MDS | ✓ | ||
| 缩放 Presto (Java) 或 Presto (C++) 引擎 | ✓ | ||
| 取消注册任何存储 | ✓ | ||
| 注销任何数据库连接 | ✓ | ||
| 激活编目存储(重启 MDS) | ✓ | ||
| 注册和取消注册自有存储 | ✓ | ✓ | ✓ |
| 注册和注销自己的数据库连接 | ✓ | ✓ | ✓ |
| 访问 metastore | ✓ | ✓ | |
| 运行 Spark 摄取作业 | ✓ | ✓ |
引擎(Presto (Java) 或 Presto (C++)
缺省管理访问权
构成管理员 (IAM) 具有缺省管理员访问权。
资源级别许可权
| 操作 | Admin | 管理者 | 用户 | 没有显式角色的用户 |
|---|---|---|---|---|
| 删除(T) | ✓ | |||
| 授予和撤销访问权 | ✓ | |||
| 暂停并恢复 | ✓ | ✓ | ||
| 重新启动 | ✓ | ✓ | ||
| 关联和取消关联目录 | ✓ | ✓ | ||
| 访问 Presto (Java) 或 Presto (C++) 查询监控器用户界面 | ✓ | ✓ | ||
| 视图(用户界面和应用程序接口) | ✓ | ✓ | ✓ | |
| 针对引擎运行工作负载 | ✓ | ✓ | ✓ |
引擎 (外部 Spark)
缺省管理访问权
构成管理员 (IAM) 具有缺省管理员访问权。
资源级别许可权
| 操作 | Admin | 管理者 | 用户 | 没有显式角色的用户 |
|---|---|---|---|---|
| 删除(T) | ✓ | |||
| 授予和撤销访问权 | ✓ | |||
| 更新 Spark 引擎元数据 (例如,标记和描述) | ✓ | ✓ | ||
| Scale Spark 引擎 | ✓ | ✓ | ||
| 视图(用户界面和应用程序接口) | ✓ | ✓ | ✓ | |
| 针对引擎运行工作负载 | ✓ | ✓ | ✓ |
引擎 (本机 Spark)
缺省管理访问权
缺省用户访问权授予给:
- 构成管理员 (IAM)
- 实例管理员 (CPD)
资源级别许可权
| 操作 | Admin | 管理者 | 用户 | 没有显式角色的用户 |
|---|---|---|---|---|
| 创建和删除引擎 | ✓ | |||
| 授予和撤销访问权 | ✓ | |||
| 缩放引擎 | ✓ | ✓ | ||
| 暂停并恢复 | ✓ | ✓ | ||
| 更新 Spark 引擎元数据 (例如,标记和描述) | ✓ | ✓ | ||
| 更新 Spark 缺省版本 | ✓ | ✓ | ||
| 更新 Spark 缺省配置 | ✓ | ✓ | ||
| Scale Spark 引擎 | ✓ | ✓ | ||
| 启动和停止 Spark 历史记录服务器 | ✓ | ✓ | ✓ | |
| 查看 Spark 历史记录 UI | ✓ | ✓ | ✓ | |
| 查看Spark UI | ✓ | ✓ | ✓ | |
| 关联和取消关联目录 | ✓ | ✓ | ||
| 视图(用户界面和应用程序接口) | ✓ | ✓ | ✓ | |
| 针对引擎运行工作负载 | ✓ | ✓ | ✓ |
发动机 ( Db2 和 Netezza )
缺省管理访问权
缺省用户访问权授予给:
- 构成管理员 (IAM)
- 实例管理员 (CPD)
资源级别许可权
| 操作 | Admin | 管理者 | 用户 | 没有显式角色的用户 |
|---|---|---|---|---|
| 创建和删除引擎 | ✓ | |||
| 授予和撤销访问权 | ✓ | |||
| 更新发动机详细信息 | ✓ | ✓ | ||
| 查看发动机 | ✓ | ✓ | ✓ |
服务 Milvus
缺省管理访问权
构成管理员 (IAM) 具有缺省管理员访问权。
虽然默认管理员可以执行一些管理和维护工作,例如删除、暂停和恢复,但他们无法授予或撤销对 Milvus 服务的访问权限。 创建 Milvus 服务的用户被视为主要管理员。 只有主管理员或由主管理员授予管理员权限的用户才能授予或撤销对 Milvus 服务的访问权限。
资源级别许可权
| 操作 | Admin | 编辑者 | 查看者 | 用户 | 数据库创建者(隐含角色) | 藏品创建者(隐含角色) | 分区创建者(隐含角色) |
|---|---|---|---|---|---|---|---|
| 查看指定的 Milvus 服务 | ✓ | ✓ | ✓ | ✓ | |||
| 删除指定的 Milvus 服务 | ✓ | ||||||
| 允许访问指定的 Milvus 服务 | ✓ | ||||||
| 撤销指定 Milvus 服务的访问权限 | ✓ | ||||||
| 暂停 Milvus 服务 | ✓ | ||||||
| 恢复 Milvus 服务 | ✓ | ||||||
集合 (Collection) CreateIndex |
✓ | ✓ | ✓ | ✓ | |||
集合 (Collection) DropIndex |
✓ | ✓ | ✓ | ✓ | |||
集合 (Collection) DescribeCollection |
✓ | ✓ | ✓ | ✓ | ✓ | ||
全局 CreateCollection |
✓ | ✓ | ✓ | ||||
全局 ShowCollections |
✓ | ✓ | ✓ | ✓ | |||
全局 CreateAlias |
✓ | ✓ | ✓ | ||||
全局 DropAlias |
✓ | ✓ | ✓ | ||||
全局 DescribeAlias |
✓ | ✓ | ✓ | ✓ | |||
全局 ListAliases |
✓ | ✓ | ✓ | ✓ | ✓ | ||
全局 FlushAll |
✓ | ✓ | |||||
全局 CreateResourceGroup |
✓ | ||||||
全局 DropResourceGroup |
✓ | ||||||
全局 DescribeResourceGroup |
✓ | ||||||
全局 ListResourceGroups |
✓ | ||||||
全局 TransferNode |
✓ | ||||||
全局 TransferReplica |
✓ | ||||||
全局 CreateDatabase |
✓ | ✓ | |||||
全局 DropDatabase |
✓ | ✓ | ✓ | ||||
全局 ListDatabases |
✓ | ✓ | ✓ | ||||
集合 (Collection) IndexDetail |
✓ | ✓ | ✓ | ✓ | ✓ | ||
集合 (Collection) Search |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
集合 (Collection) Query |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
集合 (Collection) Load |
✓ | ✓ | ✓ | ✓ | ✓ | ||
集合 (Collection) GetLoadingProgress |
✓ | ✓ | ✓ | ✓ | |||
集合 (Collection) GetLoadState |
✓ | ✓ | ✓ | ✓ | |||
集合 (Collection) Release |
✓ | ✓ | ✓ | ✓ | ✓ | ||
集合 (Collection) RenameCollection |
✓ | ✓ | ✓ | ✓ | |||
集合 (Collection) DropCollection |
✓ | ✓ | ✓ | ✓ | |||
集合 (Collection) Insert |
✓ | ✓ | ✓ | ✓ | ✓ | ||
集合 (Collection) Delete |
✓ | ✓ | ✓ | ✓ | ✓ | ||
集合 (Collection) Flush |
✓ | ✓ | ✓ | ✓ | |||
集合 (Collection) GetFlushState |
✓ | ✓ | ✓ | ✓ | |||
集合 (Collection) Upsert |
✓ | ✓ | ✓ | ✓ | ✓ | ||
集合 (Collection) GetStatistics |
✓ | ✓ | ✓ | ✓ | |||
集合 (Collection) Compaction |
✓ | ✓ | ✓ | ✓ | |||
集合 (Collection) Import |
✓ | ✓ | ✓ | ✓ | |||
集合 (Collection) LoadBalance |
✓ | ✓ | ✓ | ✓ | |||
集合 (Collection) CreatePartition |
✓ | ✓ | ✓ | ✓ | |||
集合 (Collection) DropPartition |
✓ | ✓ | ✓ | ✓ | ✓ | ||
集合 (Collection) ShowPartitions |
✓ | ✓ | ✓ | ✓ | ✓ | ||
集合 (Collection) HasPartition |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
存储器
缺省管理访问权 (仅当创建者时)
构成管理员 (IAM) 具有缺省管理员访问权。
资源级别许可权
| 操作 | Admin | 写入者 | 读者 | 没有显式角色的用户 |
|---|---|---|---|---|
| 注销 | ✓ | |||
| 更新存储属性(凭证) | ✓ | |||
| 授予和撤销访问权 | ✓ | |||
| 修改文件 | ✓ | ✓ | ||
| 浏览(用户界面中的存储浏览器) | ✓ | ✓ | ✓ | |
| 视图(用户界面和应用程序接口) | ✓ | ✓ | ✓ | ✓ |
如果要取消注册或删除存储,必须先停用存储。
S3 REST API 权限(特定于IBM Spark 和S3代理人)
用户可以为存储区中的所有子文件夹和文件获取相对存储角色,也可以为特定文件夹或文件授予文件操作权限。 下表解释了存储级和数据对象级 S3 REST API 权限。
下表仅适用于使用IBM Spark 默认使用S3签名或者如果你使用S3代理人。
| 存储角色 | S3 REST API 权限 |
|---|---|
| 写入者 | 获取;头部;放置;发布;修补;删除 |
| 读者 | 得到;头 |
| Admin | 获取;头部;放置;发布;修补;删除 |
| 数据对象动作 | S3 REST API 权限 |
|---|---|
| 读取 | 得到;头 |
| 写入 | GET; HEAD; PUT; PATCH; POST 不带 ?delete 范围 |
| 删除(T) | 删除;发布 ?delete 范围 |
数据库
缺省管理访问权 (仅当创建者时)
构成管理员 (IAM) 具有缺省管理员访问权。
资源级别许可权
| 操作 | Admin | 写入者 | 读者 | 没有显式角色的用户 |
|---|---|---|---|---|
| 注销 | ✓ | |||
更新 db conn 属性 (凭证) |
✓ | |||
| 授予和撤销访问权 | ✓ | |||
| 修改数据库对象 | ✓ | ✓ | ||
| 视图(用户界面和应用程序接口) | ✓ | ✓ | ✓ | ✓ |
目录
缺省管理员访问权 (基于管理员在 watsonx.data 中定义的访问数据控制策略)
构成管理员 (IAM) 具有缺省管理员访问权。
缺省用户访问权 (基于管理员在 watsonx.data 中定义的访问数据控制策略)
IAM 构成非管理员 (操作员,编辑者和查看者) 具有缺省用户访问权。
资源级别许可权
| 操作 | Admin | 用户 | 没有显式角色的用户 |
|---|---|---|---|
| 删除(T) | ✓ | ||
| 授予和撤销访问权 | ✓ | ||
| 对数据的访问权 | ✓ | 基于数据策略 | |
| 视图(用户界面和应用程序接口) | ✓ | ✓ |
模式
缺省管理员访问权 (基于管理员在 watsonx.data 中定义的访问数据控制策略)
构成管理员 (IAM) 具有缺省管理员访问权。
缺省用户访问权 (基于管理员在 watsonx.data 中定义的访问数据控制策略)
IAM 构成非管理员 (操作员,编辑者和查看者) 具有缺省用户访问权。
资源级别许可权
| 操作 | 目录管理员或模式创建者 | 其他 |
|---|---|---|
| 授予和撤销访问权 | ✓ | |
| 删除 | ✓ | |
| 访问 | ✓ | 基于管理员在 watsonx.data 中定义的访问数据控制策略 |
| 创建表 | ✓ | 基于管理员在 watsonx.data 中定义的访问数据控制策略 |
表
缺省管理员访问权 (基于管理员在 watsonx.data 中定义的访问数据控制策略)
构成管理员 (IAM) 具有缺省管理员访问权。
缺省用户访问权 (基于管理员在 watsonx.data 中定义的访问数据控制策略)
IAM 构成非管理员 (操作员,编辑者和查看者) 具有缺省用户访问权。
资源级别许可权
| 操作 | 目录管理员,模式管理员或表创建者 | 其他 |
|---|---|---|
| 创建,删除和变更 | ✓ | 基于管理员在 watsonx.data 中定义的访问数据控制策略 |
| 列访问权 | ✓ | 基于管理员在 watsonx.data 中定义的访问数据控制策略 |
| 选择 | ✓ | 基于管理员在 watsonx.data 中定义的访问数据控制策略 |
| 插入 | ✓ | 基于管理员在 watsonx.data 中定义的访问数据控制策略 |
| 更新 | ✓ | 基于管理员在 watsonx.data 中定义的访问数据控制策略 |
| 删除(T) | ✓ | 基于管理员在 watsonx.data 中定义的访问数据控制策略 |