一、clickhouse权限管理
users.xml默认配置文件:
<?xml version="1.0"?>
<clickhouse>
<profiles>
<default>
<load_balancing>random</load_balancing>
</default>
</profiles>
<users>
<default>
<password></password>
<networks>
<ip>::/0</ip>
</networks>
<profile>default</profile>
<quota>default</quota>
<!-- <access_management>1</access_management> -->
</default>
</users>
<quotas>
<default>
<!-- Limits for time interval. You could specify many intervals with different limits. -->
<interval>
<!-- Length of interval. -->
<duration>3600</duration>
<!-- No limits. Just calculate resource usage for time interval. -->
<queries>0</queries>
<errors>0</errors>
<result_rows>0</result_rows>
<read_rows>0</read_rows>
<execution_time>0</execution_time>
</interval>
</default>
</quotas>
</clickhouse>
users.xml
1.1 users.xml配置文件中设置权限
default权限默认过大需要做限制,可以限制IP或者设置密码
在配置文件中配置:/etc/clickhouse-server/users.xml
<?xml version="1.0"?>
<clickhouse>
<profiles>
<default>
<load_balancing>random</load_balancing>
</default>
<!-- 配置只读权限 -->
<r_read> <!-- 自己取名,下面引用> --
<readonly>1</readonly>
<allow_ddl>0</allow_ddl>
</r_read>
<!-- 配置写权限 -->
<w_write>
<load_balancing>random</load_balancing>
</w_write>
<!-- 权限全局配置 -->
<readonly>
<readonly>1</readonly>
</readonly>
</profiles>
<users>
<default>
<!-- 明文密码或者加密密码,2选1就行 -->
<password>123456</password>
<password_sha256_hex>8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92</password_sha256_hex>
<!-- 网络访问限制:内网IP访问或者所有IP都可以访问 -->
<networks>
<ip>::/0</ip>
</networks>
<!-- 引用上面的权限管理和下面的资源管理 -->
<profile>default</profile>
<quota>default</quota>
<!-- 是否开启sql驱动权限管理:0|1 ,sql命令赋权 -->
<!-- <access_management>1</access_management> -->
</default>
<!-- 读 -->
<r_read>
<password_sha256_hex>8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92</password_sha256_hex>
<networks>
<ip>::/0</ip>
</networks>
<profile>r_read</profile>
<quota>default</quota>
<!-- 允许看到的数据库,甚至可以只让用户查看表或者表的多少行 -->
<allow_databases>
<database>test</database>
</allow_databases>
</r_read>
<!-- 写 -->
<w_write>
<password>123456</password>
<networks>
<ip>::/0</ip>
</networks>
<profile>w_write</profile>
<quota>default</quota>
</w_write>
</users>
<!-- 该用户使用的资源限制 -->
<quotas>
<default>
<!-- Limits for time interval. You could specify many intervals with different limits. -->
<interval>
<!-- Length of interval. -->
<duration>3600</duration>
<!-- No limits. Just calculate resource usage for time interval. -->
<queries>0</queries>
<errors>0</errors>
<result_rows>0</result_rows>
<read_rows>0</read_rows>
<execution_time>0</execution_time>
</interval>
</default>
</quotas>
</clickhouse>
1.2 sql方式赋权
第一步:在users.xml中将default的赋值权限管理开通 <access_management>1</access_management> 第二步:sql命令创建用户、角色、授权角色给用户 -- 创建用户 chun、明文明码:123456 create user if not exists chun on cluster my_cluster IDENTIFIED WITH plaintext_password BY '123456'; -- 创建角色 chun_role create role if not exists chun_role on cluster my_cluster ; -- 授权 test_db 库查询权限给 角色 chun_role GRANT SELECT ON test_db.* TO chun_role on cluster my_cluster ; -- 分配角色给用户 chun GRANT chun_role TO chun on cluster my_cluster ;
-- 登录 clickhouse-client --host 127.0.0.1 --user chun --password 123456 -- 收回角色 chun_role 的查询权限 REVOKE SELECT ON test_db.* FROM chun_role on cluster my_cluster ;
二、 配置说明
查询权限是整个权限体系的第二层防护,它决定了一个用户能够执行的查询语句,查询权限可以分为以下四类:
读权限:包括SELECT、EXISTS、SHOW和DESCRIBE查询。
写权限:包括INSERT和OPTIMIZE查询。
设置权限:包括SET查询。
DDL权限:包括CREATE、DROP、ALTER、RENAME、ATTACH、DETACH和TRUNCATE查询
2.1 readonly
读权限、写权限和设置权限均由此标签控制,它有三种取值:
当取值为0时,不进行任何限制(默认值) 当取值为1时,只拥有读权限(只能执行SELECT、EXISTS、SHOW和DESCRIBE) 当取值为2时,拥有读权限和设置权限(在读权限基础上,增加了SET查询)
2.2 allow_ddl
DDL权限由此标签控制,它有两种取值: 当取值为0时,不允许DDL查询。 当取值为1时,允许DDL查询(默认值)。 需要注意的是readonly和allow_ddl需要定义在用户使用的profiles角色中
参考资料:
标签:default,cluster,--,数据库,查询,chun,OLAP,权限,clickhouse From: https://www.cnblogs.com/yangmeichong/p/17642328.html