Clickhouse 系统表授权与行策略

已于 2023-08-29 11:51:23 修改
阅读量4k 收藏 2
点赞数 1
分类专栏: 脚本&命令 权限相关 文章标签: 数据库 clickhouse 用户 权限 行策略
于 2022-03-10 17:48:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hehuyi_In/article/details/123407285
版权
本文介绍如何在ClickHouse中实现用户访问系统表的精细权限控制,包括创建角色、分配权限、行策略应用,以及使用shell脚本批量授权。重点在于确保用户只能访问与其自身相关数据,而不能访问其他用户的数据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、 需求背景

业务方希望用户能访问系统表,但只能访问到本用户相关数据,不要访问到其他用户。

系统表列表:

表名描述
system.users用户
system.columns字段
system.parts分区
system.tables
system.databases数据库
system.roles角色
system.data_skipping_indices二级索引
system.grants授权

用户列表:user1,user2,user3,user4,user5

二、 需求实现

1. 创建角色

create role role_db_metadata on cluster my_cluster;

2. 授权角色与用户

GRANT show users on *.* TO role_db_metadata on cluster my_cluster; -- system.users
GRANT SELECT ON system.tables TO role_db_metadata on cluster my_cluster;
GRANT SELECT ON system.data_skipping_indices TO role_db_metadata on cluster my_cluster;
GRANT show roles on *.* TO 用户名 on cluster my_cluster; -- system.roles,测试show roles on *.* 加给role后再授权无效
GRANT role_db_metadata to 用户名 on cluster my_cluster;

备注:

  • system.columns,system.parts,system.databases 不需要额外授权和加行策略
  • system.roles,system.tables 不需要额外加行策略
  • system.grants = show users on *.* + show roles on *.* ,不需要额外授权
     

3. 为角色/用户建行策略

  • CREATE ROW POLICY 策略名 ON db名.表名 FOR SELECT USING 行策略条件 TO ALL EXCEPT default on cluster my_cluster;
  • TO ALL EXCEPT default 表示对除default用户外的所有用户均生效
CREATE ROW POLICY policy_query_users_for_users ON system.users FOR SELECT USING name = currentUser() TO ALL EXCEPT default on cluster my_cluster;
-- 上面行策略会使default用户也无法查询user信息(虽然有加EXCEPT default),利用本策略覆盖
CREATE ROW POLICY policy_query_users_default ON system.users FOR SELECT USING 1 = 1 TO default on cluster my_cluster;
CREATE ROW POLICY policy_query_skip_for_users ON system.data_skipping_indices FOR SELECT USING database = currentDatabase() TO ALL EXCEPT default on cluster my_cluster;
CREATE ROW POLICY policy_query_grants_for_users ON system.grants FOR SELECT USING user_name = currentUser() TO ALL EXCEPT default on cluster my_cluster;


三、 生成脚本

因为用户较多,一个个写授权sql比较麻烦,可以用shell脚本生成语句

#!/bin/sh
# 批量生成授权语句
user_list=(user1 user2 user3 user4 user5)
logfile=grant_to_user.log
 
for user in ${user_list[@]}
do
    echo -e "grant role_db_metadata to ${user} on cluster my_cluster;" >> $logfile
    echo -e "grant show roles on *.* to ${user} on cluster my_cluster;\n" >> $logfile
done

参考 ROW POLICY | ClickHouse文档

【大数据 OLAP 技术新书推荐】 字节跳动阿里巴巴大厂资深架构师程序员多年实践经验总结《ClickHouse入门、实战进阶》ClickHouse领域集大成之作,入门标准参考书日常工作案头必备手册
AI天才研究院
06-25 1万+
本书是ClickHouse领域的集大成之作,从基础知识、实现原理、项目实战、扩展应用4个维度全面展开,述简练清晰、案例丰富实用,既可以作为入门的标准参考书,又适合作为案头速查手册。书中内容是作者在阿里巴巴、字节跳动多年实战经验的总结,得到了字节跳动和阿里巴巴9位大数据专家的高度评价。全书共10章,主要内容如下:第1~3章整体介绍ClickHouse概念、特性、应用场景、技术生态、快速入门和基础数据类型等基础内容,目的是从本质上揭开ClickHouse高性能背后的秘密,帮助读者快速上手实践。
ClickHouse 创建用户/角色/权限策略/配额 Quota 限流等
热门推荐
AI天才研究院
04-02 1万+
1.1.数据控制数据控制语言( DCL ) 是一种类似于计算机编程语言的语法,用于控制对存储在数据库中的数据的访问(授权)。特别是,它是结构化查询语言(SQL) 的一个组件。数据控制语言是 SQL 命令中的逻辑组之一。DCL 命令的示例包括:1. GRANT允许指定的用户指定的任务。2. REVOKE删除用户数据库对象的可访问性。ClickHouse 支持基于 R......
ClickHouse的安全权限
AI天才研究院
01-25 783
1.背景介绍 1. 背景介绍 ClickHouse 是一个高性能的列式数据库,用于实时数据处理和分析。它具有高速、高吞吐量和低延迟等优势。然而,在实际应用中,数据安全和权限控制也是非常重要的。本文将深入探讨 ClickHouse 的安全权限,并提供一些实用的建议和最佳实践。 2. 核心概念联系 在 ClickHouse 中,安全权限主要体现在以下几个方面: 用户管理:ClickH...
clickhouse跨库链接方式
haha516130的博客
06-26 614
join jdbc('jdbc:oracle:thin:账号/密码@xx.xx.xx.xx:1521:服务','select * from 名') u on 字段xx1 =字段xx2。注意:clickhouse要先确保已安装clickhouse-jdbc-bridge-2.0.7-shaded.jar 驱动包,参考安装步骤。join mysql('xx.xx.xx.xx:3306','数据库','名','账号','密码') u on 字段xx1 =字段xx2。
教你如何在clickhouse上建
2301_79096508的博客
04-10 958
ClickHouse 中,引擎是的核心组成部分,决定了的存储方式、数据分布、索引机制以及查询性能。ClickHouse 提供了多种引擎,每种引擎适用于不同的场景。引擎决定了如何存储的数据。包括:数据的存储方式和位置,写到哪里以及从哪里读取数据支持哪些查询以及如何支持并发数据访问索引的使用(如果存在)是否可以执多线程请求数据复制参数引擎是 ClickHouse 的核心特性之一,它定义了数据的存储和查询方式。常见的引擎分为以下几类:见第二章。
ClickHouse用户权限控制
mnasd的博客
10-28 4399
ClickHouse使用Role-Based Access Control(RBAC),进用户权限管理。用户()角色(Role)权限策略(Row Policy)配置文件()资源配额(Quota)可以通过两种方式对ClickHouse权限控制。类似于MySQL的SQL驱动权限控制(SQL-driven workflow)该方法默认关闭,需要开启(具体操作请看下文)SQL-driven workflow方式在20.1.2.4版本才开始支持通过配置文件进权限控制(users.xml。
Clickhouse 用户准入控制权限分配 附主要配置步骤细节及示例 (主要参考 Clickhouse 官方文档)
知行合一
06-27 2556
本文档参考官方文档总结了 Clickhouse 集群准入控制用户权限管理的建设及管理的基本方法。
Clickhouse 创建用户、角色、授权、回收权限
孤傲然的博客
09-14 8228
创建用户、角色、授权和回收权限 access_management create role create user GRANT SELECT ON db.* TO SHOW ACCESS
ClickHouse数据库管理权限
AI天才研究院
01-21 1038
1.背景介绍 1. 背景介绍 ClickHouse 是一个高性能的列式数据库管理系统,由 Yandex 开发。它以高性能、高吞吐量和低延迟为特点,适用于实时数据处理和分析场景。ClickHouse 支持多种数据类型和存储格式,可以处理大量数据,并提供快速的查询速度。 ClickHouse权限管理机制是一项重要的功能,可以确保数据安全和访问控制。在本文中,我们将深入探讨 ClickHous...
ClickHouse数据库对比、适用场景入门指南
全世界的博客
06-09 2531
ClickHouse 是一个由俄罗斯搜索引擎公司 Yandex 开发的开源列式数据库管理系统,专为在线分析处理(OLAP)场景设计。它以其卓越的性能、高效的压缩和实时数据处理能力而闻名。ClickHouse 的入门概述旨在帮助初学者理解其核心概念和设计理念,为后续的学习和使用打下基础。ClickHouse 是一个列式存储的数据库管理系统,这意味着数据是按列存储而非按存储。这种存储方式使得在执聚合查询时能够提供更高的性能。ClickHouse 支持标准 SQL 查询,并且提供了许多针对列式存储的优化特性。
企业级 Agent 协作系统安全机制权限控制实战:认证、授权为审计体系构建
最新发布
在信息的熵增中,记录结构、重建秩序。 技术思想者的笔记,系统构建者的注释。
05-04 1048
在企业级多智能体协作系统中,多个 Agent 组件在复杂任务流中协同运,涉及多租户环境下的任务分发、策略资源共享,系统安全问题不容忽视。如何构建完善的身份认证机制、精细化的权限控制体系可追踪的为审计链,成为保障 Agent 系统合规性、控制边界风险实现权限最小化原则的关键。本文围绕“认证机制、权限控制模型、为审计系统、安全联动策略”四大核心模块,系统梳理企业级 Agent 协作系统的安全落地路径,并结合生产实践场景提供可直接部署的架构策略方案。
ClickHouse在Linux下安装使用手册
05-04 783
ClickHouse在Linux下安装使用手册
clickhouse权限控制
比起日出,我更喜欢日落。我的意思是比起遇见你,我更喜欢与你终老
03-14 987
all 是授权所有权限
ClickHouse中创建用户数据库并进权限分配
u011197085的博客
12-26 4319
ClickHouse中创建用户数据库并进权限分配是一个重要的管理任务,它涉及到安全性和访问控制。下面是一个基本的指南来帮助你完成这些操作: 1. 创建数据库 首先,需要创建一个数据库。使用以下命令: CREATE DATABASE IF NOT EXISTS your_database_name; 将 your_database_name 替换为你想要的数据库名。 2. 创建用户 接下来,创建一个新用户。使用以下命令: CREATE USER your_username IDENTIFIED WIT
ClickHouse生产运维系列[部署篇]-04_ClickHouse创建数据库用户及授予权限
shlei5580的专栏
03-12 4566
在前面的章节里,我们已经次用ckman 安装部署了两套ClickHouse集群。本节我们将在其中一套集群上演示创建用户角色、创建数据库用户,并为用户赋予不同权限。以便为后面导入数据验证测试以及为chproxy调整配置文件做准备。
clickhouse官方文档_初探ClickHouse的RBAC权限功能
weixin_39597868的博客
11-28 560
最近电脑出了点问题,所以断更了一段时间,现在问题都解决了所以我也就回归啦。在4.28号的线上 Meetup 中,朵夫介绍了 ClickHouse 的一项新特性,即基于角色的RBAC权限功能,当时我就觉得这将会是一项实用的功能。会后我查阅了相关资料,发现在新版本中不仅新增了Role 的概念,对于User (用户)、 Row Policy (权限)、Settings Profile ...
ClickHouse: 权限控制-喀秋莎发射指北
万能修实验室
05-16 6532
古语有云:“道路千万条,安全第一条,开车不规范,亲人两泪”纵观历史上的知名删库跑路战役,MongoDB、ES、Redis之前都出过由于权限缺失导致的重大安全事故。ClickHouse...
clickhouse-用户和角色
line_on_database的博客
08-01 3661
​。
关于ClickHouse用户权限管理
辉博士
02-08 429
用户对所有数据库的所有的查询权限;语句为用户赋予查询权限。以上将赋予对特定数据库(如。如果需要撤销权限,可以使用。
Clickhouse技术调研应用分析
5. Clickhouse传统数据库比较:传统的关系型数据库管理系统(RDBMS)相比,ClickHouse在处理大规模数据集时的性能更优,尤其是在复杂查询和大数据量分析上具有明显优势。然而,它在处理事务和复杂关联查询方面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hehuyi_In

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值