跳到主要内容
版本:Latest-3.3

REVOKE

功能

从用户或角色中撤销指定的权限或角色。有关 StarRocks 支持的权限项,参见 权限项

提示
  • 普通用户可以将自身拥有的授权中带有 WITH GRANT OPTION 关键字的权限从其他用户或角色处收回。关于 WITH GRANT OPTION,参见 GRANT
  • 只有拥有 user_admin 角色的用户才可以收回其他用户的权限。

语法

撤销指定权限

能撤销的权限因对象 (object) 而异。下面讲解不同对象可以撤销的不同权限。

System 相关

REVOKE
{ CREATE RESOURCE GROUP | CREATE RESOURCE | CREATE EXTERNAL CATALOG | REPOSITORY | BLACKLIST | FILE | OPERATE | CREATE STORAGE VOLUME }
ON SYSTEM
FROM { ROLE | USER} {<role_name>|<user_identity>}

Resource group 相关

REVOKE
{ ALTER | DROP | ALL [PRIVILEGES] }
ON { RESOURCE GROUP <resourcegroup_name> [, <resourcegroup_name>,...]ALL RESOURCE GROUPS}
FROM { ROLE | USER} {<role_name>|<user_identity>}

Resource 相关

REVOKE
{ USAGE | ALTER | DROP | ALL [PRIVILEGES] }
ON { RESOURCE <resource_name> [, <resource_name>,...]ALL RESOURCES}
FROM { ROLE | USER} {<role_name>|<user_identity>}

User 相关

REVOKE IMPERSONATE ON USER <user_identity> FROM USER <user_identity_1>

全局 UDF 相关

REVOKE
{ USAGE | DROP | ALL [PRIVILEGES]}
ON { GLOBAL FUNCTION <function_name>(input_data_type) [, <function_name>(input_data_type),...]
| ALL GLOBAL FUNCTIONS }
FROM { ROLE | USER} {<role_name>|<user_identity>}

Internal catalog 相关

REVOKE
{ USAGE | CREATE DATABASE | ALL [PRIVILEGES]}
ON CATALOG default_catalog
FROM { ROLE | USER} {<role_name>|<user_identity>}

External catalog 相关

REVOKE  
{ USAGE | DROP | ALL [PRIVILEGES] }
ON { CATALOG <catalog_name> [, <catalog_name>,...] | ALL CATALOGS}
FROM { ROLE | USER} {<role_name>|<user_identity>}

Database 相关

REVOKE 
{ ALTER | DROP | CREATE TABLE | CREATE VIEW | CREATE FUNCTION | CREATE MATERIALIZED VIEW | ALL [PRIVILEGES] }
ON { {DATABASE <database_name> [, <database_name>,...]} | ALL DATABASES }
FROM { ROLE | USER} {<role_name>|<user_identity>}

注意:需要执行 SET CATALOG 之后才能使用。

Table 相关

REVOKE
{ ALTER | DROP | SELECT | INSERT | EXPORT | UPDATE | DELETE | ALL [PRIVILEGES]}
ON { TABLE <table_name> [, < table_name >,...]
| ALL TABLES} IN
{ { DATABASE <database_name> [, <database_name>,...] | ALL DATABASES }}
FROM { ROLE | USER} {<role_name>|<user_identity>}

注意:需要执行 SET CATALOG 之后才能使用。table 还可以用 db.tbl 的方式来表示。

REVOKE <priv> ON TABLE db.tbl FROM {ROLE <role_name> | USER <user_identity>}

View 相关

REVOKE
{ ALTER | DROP | SELECT | ALL [PRIVILEGES]}
ON { VIEW <view_name> [, < view_name >,...]
ALL VIEWS} IN
{ { DATABASE <database_name> [,<database_name>,...] } | ALL DATABASES }
FROM { ROLE | USER} {<role_name>|<user_identity>}

注意:需要执行 SET CATALOG 之后才能使用。view 还可以用 db.view 的方式来表示。

REVOKE <priv> ON VIEW db.view FROM {ROLE <role_name> | USER <user_identity>}

Materialized view 相关

REVOKE
{ SELECT | ALTER | REFRESH | DROP | ALL [PRIVILEGES]}
ON { MATERIALIZED VIEW <mv_name> [, < mv_name >,...]
ALL MATERIALIZED VIEWS} IN
{ { DATABASE <database_name> [,<database_name>,...] } | ALL [DATABASES] }
FROM { ROLE | USER} {<role_name>|<user_identity>}

注意:需要执行 SET CATALOG 之后才能使用。mv 还可以用 db.mv 的方式来表示。

REVOKE <priv> ON MATERIALIZED VIEW db.mv FROM {ROLE <role_name> | USER <user_identity>};

Function 相关

REVOKE
{ USAGE | DROP | ALL [PRIVILEGES]}
ON { FUNCTION <function_name>(input_data_type) [, <function_name>(input_data_type),...]
ALL FUNCTIONS } IN
{ { DATABASE <database_name> [,<database_name>,...] } | ALL DATABASES }
FROM { ROLE | USER} {<role_name>|<user_identity>}

注意:需要执行 SET CATALOG 之后才能使用。function 还可以用 db.function 的方式来表示。

REVOKE <priv> ON FUNCTION <db_name>.<function_name>(input_data_type) FROM {ROLE <role_name> | USER <user_identity>}

Storage volume 相关

REVOKE
{ USAGE | ALTER | DROP | ALL [PRIVILEGES] }
ON { STORAGE VOLUME < name > [, < name >,...]ALL STORAGE VOLUMES}
FROM { ROLE | USER} {<role_name>|<user_identity>}

撤销指定角色

REVOKE <role_name> [,<role_name>, ...] FROM ROLE <role_name>
REVOKE <role_name> [,<role_name>, ...] FROM USER <user_identity>

参数说明

参数描述
role_name角色名称
user_identity用户标识,例如 'jack'@'192.%'。
resourcegroup_name资源组名称
resource_name资源名称
function_name函数名称
catalog_nameExternal catalog 名称
database_name数据库名称
table_name表名
view_name视图名称
mv_name物化视图名称

示例

撤销权限

撤销用户 jack 对表 sr_member 的 SELECT 权限。

REVOKE SELECT ON TABLE sr_member FROM USER 'jack@'172.10.1.10'';

撤销角色 test_role 对资源 spark_resource 的使用权限。

REVOKE USAGE ON RESOURCE 'spark_resource' FROM ROLE 'test_role';

撤销角色

撤销先前授予用户 jackexample_role 角色。

REVOKE example_role FROM 'jack'@'%';

撤销先前授予角色 test_roleexample_role 角色。

REVOKE example_role FROM ROLE 'test_role';