如何创建一个无dashboard权限的 all privileges 的用户呢

TiDBer_dnazvNmw · 2024 年7 月 23 日 03:51

【 TiDB 使用环境】生产环境
【 TiDB 版本】 v8.1.0
【复现路径】如何创建一个无dashboard权限的 all privileges 的用户呢
【遇到的问题：问题现象及影响】
【资源配置】如何创建一个无dashboard权限的 all privileges 的用户呢

我创建了一个 all privileges 对某个库普通用户，但是发现他有登录 dashboard 权限，但是我只想让这个普通用户操作指定的数据库，不希望他有别的权限，应该如何设置，我看了官网的文档好像并没有说明 all privileges 具体包含那些子权限
创建语句：
grant all privileges on apptest.* to ‘app’@‘192.168.%.%’;

yiduoyunQ · 2024 年7 月 23 日 03:54

https://docs.pingcap.com/zh/tidb/stable/dashboard-user

呢莫不爱吃鱼 · 2024 年7 月 23 日 07:07

一般是不会有DASHBOARD_CLIENT权限的，如果你创建账号有这个权限，那执行REVOKE DASHBOARD_CLIENT ON . FROM ‘app’@‘192.168.%.%’; 是不是就可以了

濱崎悟空 · 2024 年7 月 23 日 14:05

DASHBOARD_CLIENT

TiDBer_dnazvNmw · 2024 年7 月 24 日 00:34

我试了一下，这样是不可以的

TiDBer_dnazvNmw · 2024 年7 月 24 日 00:36

我想创建一个不能登录的dashboard的all privileges 用户，但是好像不行，只能把详细的权限全部写上，不加dashboard_client 权限才可以

TiDBer_dnazvNmw · 2024 年7 月 24 日 00:37

show grants for ‘app’@‘192.168.%.%’ 创建的权限是all privileges，并不能单独去掉all privileges 中的某一个

呢莫不爱吃鱼 · 2024 年7 月 24 日 01:05

刚试了下，确实有越权的现象，那只能先收回权限再授具体权限这么搞了。

TiDB-ruiqianyun · 2024 年8 月 5 日 05:20

你只能一个个权限都写好

Soysauce520 · 2024 年8 月 6 日 00:38

revoke trigger on apptest.* to ‘app’@‘192.168.%.%’;

你会发现show grants 已经不是all了，你试试应该是没有登录dashboard权限了。

如果还有就再revoke

REVOKE DASHBOARD_CLIENT ON . FROM ‘app’@‘192.168.%.%’;