角色操作

查看角色列表

· 仅开启“安全管理/权限管理”且运行正常的集群可使用角色管理功能。

· 通过在页面右上角的集群下拉框中进行选择，可查看指定集群中的角色列表，默认选择全部集群。

· 普通用户可以查看到自己创建的集群中的所有角色，以及自己申请的其他集群的角色。系统超级管理员或安全管理员可以查看到系统内所有集群的所有角色。

· 在[集群权限/租户管理]处新增租户时，会同时创建“租户名称_share”的角色。此角色拥有租户所有的使用权限，并会在角色管理列表中显示，对应描述信息标识为“租户创建”，且不可被编辑或删除。

· 通过输入角色名后，单击图标可模糊搜索目标角色。

· 根据大数据平台是否开启国密，角色列表信息展示会有差异，详情请参见系统对接国密说明。

在集群权限的左侧导航树中选择[角色管理]，进入角色管理页面。

在角色管理页面，可查看角色列表及角色相关参数信息，同时可对角色执行编辑、删除等操作。

部分参数说明如下：

角色名：单击角色名称可跳转至角色详情页面。

所属集群：角色归属于哪一个集群，对应的集群名称。

操作：显示角色可执行的操作类型。不同角色支持的操作类型不同，详情请以页面为准。

查看申请记录

$说明: D:\02-素材\png图标素材\零售图标套装系列\Iconbase图标系列\TupperWare\baloom.png$

申请记录在不同资源状态下可执行的操作类型不同，详情请以实际页面为准。

在集群权限的左侧导航树中选择[角色管理]，进入角色管理页面。

在角色管理页面，选择[申请记录]页签，可查看新建角色的申请操作记录。

部分参数说明如下：

名称：展示操作的流程名称。

资源操作类型：展示操作类型。

申请人：提交操作的用户名称。

申请时间：提交操作的时间。

资源状态：操作的执行结果。

失败原因：若资源状态为失败，会显示对应的失败原因。若资源状态为成功或进行中，则此项值为空。

操作：在当前资源状态下，可执行的操作类型。

若资源状态为失败，根据失败提示将问题解决后，可单击<重试>按钮进行重试。

若需删除申请记录，可单击<删除>按钮并在弹窗中进行确定即可删除。

角色共享

$说明: D:\02-素材\png图标素材\零售图标套装系列\Iconbase图标系列\TupperWare\baloom.png$

角色共享成功后，不同类型的系统用户可对共享角色执行的操作不同，详情请以实际页面为准。

集群在使用过程中，根据实际需要，可执行角色共享操作。角色共享功能可将此角色共享给管理系统中的其他普通用户，角色共享成功后，其他用户即可使用该角色。

在集群权限的左侧导航树中选择[角色管理]，进入角色管理页面。

在角色管理页面，单击角色列表中某角色对应的<角色共享>按钮，弹出角色共享窗口。

角色共享窗口展示了可选用户列表以及已选用户列表。

可选用户：可选用户列表展示了该角色可共享的目标用户列表。勾选用户名前的复选框，单击图标，即可将该用户添加到已选用户列表中。

已选用户：已选用户列表展示了该角色已选择的共享用户列表。勾选用户名前的复选框，单击图标，即可将该用户从已选用户列表中删除。

配置完成后，单击<确定>按钮即可完成角色共享。

角色共享成功后，登录管理系统在[集群权限/角色管理]页面可查看到该共享角色，此时即可使用该角色。

查看角色详情

· 拥有Hive数据脱敏或行级过滤权限的角色，在角色详情页面的[权限列表]页签不支持对数据脱敏和行级过滤权限进行编辑。

· 当独立集群开启“安全管理/权限管理”时，支持对集群中的单组件执行权限关闭或重新开启的操作，操作详情请参见集群权限支持单组件关闭/开启。集群中的单组件单独执行权限关闭或重新开启操作后，已创建的角色中已配置的组件权限也会对应适配，已关闭权限管理的组件将不展示。

角色详情页面可查看角色的基本信息、详细的权限列表以及关联用户，同时可对该角色执行编辑或删除操作。

在集群权限的左侧导航树中选择[角色管理]，进入角色管理页面。

在角色管理页面，单击角色名称可跳转至角色详情页面。

基本信息：展示角色的基本信息，以便于快速了解角色。

角色操作：在页面右上角显示角色可执行的操作。不同角色支持的操作类型不同，详情请以页面为准。

关联用户：查看该角色已关联的所有用户列表。通过输入用户名后，单击图标可模糊搜索目标用户。

权限列表：查看该角色拥有的所有权限详情，并可对权限执行编辑或删除等操作。不同角色的权限支持的操作类型不同，详情请以页面为准，比如：新增租户时生成的同名角色不可执行权限的编辑或删除操作。

编辑：编辑角色拥有的权限时，资源不支持修改，仅权限配置可修改。当角色权限被修改后，绑定该角色的用户的权限会同步变更。

删除：删除角色拥有的权限后，则绑定该角色的用户拥有的对应权限会同步被删除。

编辑角色

· 普通用户编辑角色时，需要走流程审批，待审批人审批通过后才能编辑成功。系统超级管理员或安全管理员编辑角色时，无需审批，即可直接编辑角色成功。

· 新增租户时生成的同名角色不可执行编辑操作。

· 编辑角色时可修改组件资源及权限策略。当角色的组件资源或权限策略被修改后，绑定该角色的用户的权限会随着角色组件资源或权限策略的变更而同步变更。

· 编辑角色时，选择组件栏只显示当前版本中支持权限控制的组件，且不同组件控制的资源不同，支持的权限控制粒度也不同，详情请以实际页面为准。

· 在编辑角色修改组件资源时，不检验资源格式的合法性。

· 编辑角色时，若该角色未配置Redis权限，则不支持再新增Redis权限；若该角色已配置Redis权限，则不支持新增其他组件权限，且Redis权限策略仅支持修改，不支持被删除。

· 若某角色执行了角色共享操作，编辑角色权限后，共享用户对应的该角色权限会自动同步更新。

· 编辑拥有Hive权限的角色时，若要使用数据脱敏和行级过滤则必须保证数据库表拥有select权限。

· 当独立集群开启“安全管理/权限管理”时，支持对集群中的单组件执行权限关闭或重新开启的操作，操作详情请参见集群权限支持单组件关闭/开启。集群中的单组件单独执行权限关闭或重新开启操作后，编辑角色时展示的组件列表也会对应适配，已关闭权限管理的组件将不展示。

集群在使用过程中，根据实际需要，可修改角色的描述和组件权限策略。

在集群权限的左侧导航树中选择[角色管理]，进入角色管理页面。

进入编辑角色页面的方式有以下两种，任选其一即可：

在角色管理页面，单击角色列表中某角色对应的<编辑>按钮，进入编辑角色页面。

在角色管理页面，单击角色列表中某角色名进入角色详情页面，在页面右上角单击<编辑>按钮，进入编辑角色页面。

根据提示配置可编辑参数项的值，如下：

描述：自定义修改角色的描述信息，以便于快速了解角色功能。

选择组件：修改角色的组件资源或权限配限，关于各组件权限类型对应的常用组件操作详情请参见表-1。已选择组件标记为蓝色，未选择组件为灰色。

Elasticsearch：支持对索引配置权限（支持使用通配符*模糊适配），权限包括：read、index、create、delete、create_index、delete_index、view_index_metadata、monitor、manage、all。注意：Elasticsearch开启权限管理与Kerberos认证后操作命令的使用会发生变化，具体内容参见Elasticsearch开启权限管理与Kerberos认证后操作命令的使用变更。

HDFS：支持对HDFS存储路径配置权限（支持使用通配符*模糊适配），权限包括：read、write和execute。开启权限管理后，除了用户角色配置的权限外，HDFS组件默认对一些路径提供了读写操作权限，建议用户不要对这些路径及其子目录进行修改和操作，HDFS提供默认权限的路径可参见HDFS默认拥有读写权限的路径。

YARN：支持对队列配置权限（支持使用通配符*模糊适配），权限包括：submit-app、admin-queue。

Hive：支持对数据库表和数据库UDF配置权限（支持使用通配符*模糊适配），并且提供数据脱敏和行级过滤功能。(1)数据库表可对数据库、数据表、列配置权限，权限包括：select、update、create、drop、alter、index、use，其中all表示配置所有权限。注意：Hive的数据库表权限同样也适用于Impala（Impala只支持查询操作的列权限）、Spark组件，即Impala、Spark SQL也支持对库表的访问权限控制。(2)数据库UDF可对数据库、UDF配置权限，权限包括create、drop。(3)数据脱敏是指按照某种规则对指定列的数据进行脱敏，保证数据安全性，数据脱敏策略详情请参见表-2。(4)行级过滤是指对表配置行级过滤策略，仅展示满足过滤策略的数据（若过滤策略配置为空则不过滤）。行级过滤类似where子句，示例：配置策略id>1时，查询表时会自动获取id大于1的数据。

DLH：支持对数据库表和数据库UDF配置权限（支持使用通配符*模糊适配），并且提供数据脱敏和行级过滤功能。(1)数据库表可对数据库、数据表、列配置权限，权限包括：select、update、create、drop、alter、index、use，其中all表示配置所有权限。(2)数据库UDF可对数据库、UDF配置权限，权限包括create、drop。(3)数据脱敏是指按照某种规则对指定列的数据进行脱敏，保证数据安全性，数据脱敏策略详情请参见表-2。(4)行级过滤是指对表配置行级过滤策略，仅展示满足过滤策略的数据（若过滤策略配置为空则不过滤）。行级过滤类似where子句，示例：配置策略id>1时，查询表时会自动获取id大于1的数据。

HBase：支持对表、列族和列配置权限（支持使用通配符*模糊适配），权限包括：read、write、create、admin。注意：表的格式为<namespace>:<table>，如果namespace不填写则默认为default，创建namespace时需要admin权限。

Kafka：支持对主题配置权限（支持使用通配符*模糊适配），权限包括：publish、consume。

Solr：支持对索引配置权限(支持使用通配符*模糊适配)，权限包括：query、update、solr_admin、others。

Redis：支持对键（key）配置权限(支持使用通配符*模糊适配)，权限包括：all、read、write、admin、string、list、hash、set、sortedset，其中all表示配置所有权限。注意：若角色同时拥有多个Redis权限类型时，权限范围取并集。

配置完成后，单击<确定>按钮即可完成编辑角色。

删除角色

$说明: D:\02-素材\png图标素材\零售图标套装系列\Iconbase图标系列\TupperWare\baloom.png$

· 新增租户时生成的同名角色不可执行删除操作。

· 若某角色正在被用户绑定使用，则不允许被删除。

集群在使用过程中，根据实际需要，可执行删除角色操作。

在集群权限的左侧导航树中选择[角色管理]，进入角色管理页面。

删除角色的方式有以下两种，任选其一即可：

在角色管理页面，单击角色列表中某角色对应的<删除>按钮并在弹窗中进行确定后，即可删除该角色。

在角色管理页面，单击角色列表中某角色名进入角色详情页面，在页面右上角单击<删除>按钮并在弹窗中进行确定后，即可删除该角色。