clickhouse 如何使用SQL 管理用户和角色

已于 2022-09-07 11:22:04 修改
阅读量3.6k 收藏 6
点赞数 2
分类专栏: clickhouse 文章标签: 数据库 java
于 2022-08-10 17:04:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pang_2899/article/details/126266240
版权

clickhouse 数据库默认的用户是default ,clickhouse 数据库的用户管理有两种方式:

1、直接修改配置文件(user.xml) 在用户配置文件里面配置需要创建的用户。

2、使用SQL直接创建用户并授权(比较灵活,无需重启服务)与mysql 管理用户类似,但是需要修改一下默认的user配置文件。默认的配置default 用户没有创建用户的权限。需要给default 用户添加access_management>1</access_management>选项

3、重启服务后使用default用户登录后创建一个管理员用户

clickhouse-client --user default --port 9000 

create user  dba@‘%’  identified with plaintext_password by 'dba@123' on cluster cluster_name;

grant  on cluster cluster_name   all on *.*  to  'dba'@'%'  with grant option;

以后使用dba用户进行日常管理。

0、clickhouse 使用默认配置启动后,登录clickhouse 服务,尝试创建用户时报如下错误:

op-data-base :) create user clickhouse_admin@'%' identified with plaintext_password by 'clickhouse_password';

CREATE USER clickhouse_admin IDENTIFIED WITH plaintext_password BY 'clickhouse_password'

Query id: c3f78024-7d87-476d-b66e-b202aefa7bac


0 rows in set. Elapsed: 0.001 sec.

Received exception from server (version 22.6.2):
Code: 497. DB::Exception: Received from localhost:9000. DB::Exception: default: Not enough privileges. To execute this query it's necessary to have grant CREATE USER ON *.*. (ACCESS_DENIED)

这是因为default用户没有access_management权限。

1、开启default 用户的超级管理员权限添加 access_management>1</access_management>

 <default>
   
            <password></password>
            <access_management>1</access_management>

2、重启clickhouse 服务

clickhouse  restart

[root@op-data-base clickhouse-server]# clickhouse restart
/var/run/clickhouse-server/clickhouse-server.pid file exists and contains pid = 26366.
The process with pid = 26366 is running.
Sent terminate signal to process with pid 26366.
Waiting for server to stop
/var/run/clickhouse-server/clickhouse-server.pid file exists and contains pid = 26366.
The process with pid = 26366 is running.
Waiting for server to stop
/var/run/clickhouse-server/clickhouse-server.pid file exists and contains pid = 26366.
The process with pid = 26366 is running.
Waiting for server to stop
Now there is no clickhouse-server process.
Server stopped
 chown -R clickhouse: '/var/run/clickhouse-server/'
Will run clickhouse su 'clickhouse' /usr/bin/clickhouse-server --config-file /etc/clickhouse-server/config.xml --pid-file /var/run/clickhouse-server/clickhouse-server.pid --daemon
Waiting for server to start
Waiting for server to start
Server started
 

3、创建用户并授权

op-data-base :) create user clickhouse_admin identified with plaintext_password by 'clickhouse_admin';

CREATE USER clickhouse_admin IDENTIFIED WITH plaintext_password BY 'clickhouse_admin'

Query id: eb4f758d-c3f8-4362-90ee-29785203351e

Ok.

0 rows in set. Elapsed: 0.001 sec.

4、授与新用户拥有所有管理权限

grant all on *.*  to  clickhouse_admin with grant option;

5、使用clickhouse_admin 用户创建一个列管理用户;

 clickhouse-client  --user clickhouse_admin --password clickhouse_admin
 

create user column_user identified  with plaintext_password by 'column_user'; 

CREATE USER column_user IDENTIFIED WITH plaintext_password BY 'column_user'

Query id: a62d60e1-c492-4404-acbf-7dff27d54c56

Ok.

0 rows in set. Elapsed: 0.001 sec.
 

6、创建一个行管理用户;

create user row_user identified with plaintext_password by 'row_user';

7、建库建表并插入数据

op-data-base :) select * from db1.t1;

SELECT *
FROM t1

Query id: 01ec08a4-abff-42a6-ad30-c555125b0531

┌─id─┬─column1─┬─column2─┐
│  1 │ A       │ abc     │
│  2 │ A       │ def     │
│  3 │ B       │ abc     │
│  4 │ B       │ def     │
└────┴─────────┴─────────┘
 

8、创建角色

1、创建一个角色 只允许查看表t1的Colum1列;

create role column1_users;

3. Creating roles

With this set of examples, roles for different privileges such as columns and rows will be created, privileges will be granted to the roles and users will be assigned to each role. Roles are used to define groups of users for certain privileges instead of managing each user seperately.

  1. Create a role to restrict users of this role to only see column1 in database db1 and table1:

    CREATE ROLE column1_users;

  2. Set privileges to allow view on column1

    GRANT SELECT(id, column1) ON db1.table1 TO column1_users;

  3. Add the column_user user to the column1_users role

    GRANT column1_users TO column_user;

  4. Create a role to restrict users of this role to only see selected rows, in this case only rows containing A in column1

    CREATE ROLE A_rows_users;

  5. Add the row_user to the A_rows_users role

    GRANT A_rows_users TO row_user;

  6. Create a policy to allow view on only where column1 has the values of A

    CREATE ROW POLICY A_row_filter ON db1.table1 FOR SELECT USING column1 = 'A' TO A_rows_users;

  7. Set privileges to the database and table

    GRANT SELECT(id, column1, column2) ON db1.table1 TO A_rows_users;

  8. grant explicit permissions for other roles to still have access to all rows

    CREATE ROW POLICY allow_other_users_filter ON db1.table1 FOR SELECT USING 1 TO clickhouse_admin, column1_users;

    NOTE

    When attaching a policy to a table, the system will apply that policy and only those users and roles defined will be able to do operations on the table, all others will be denied any operations. In order to not have the restrictive row policy applied to other users, another policy must be defined to allow other users and roles to have regular or other types of access.

4. Testing role privileges with column restricted user

  1. Log into the clickhouse client using the clickhouse_admin user

    clickhouse-client --user clickhouse_admin --password password

  2. Verify access to database, table and all rows with the admin user.

    SELECT *
FROM db1.table1


    Query id: f5e906ea-10c6-45b0-b649-36334902d31d

┌─id─┬─column1─┬─column2─┐
│  1 │ A       │ abc     │
│  2 │ A       │ def     │
│  3 │ B       │ abc     │
│  4 │ B       │ def     │
└────┴─────────┴─────────┘

  3. Log into the ClickHouse client using the column_user user

    clickhouse-client --user column_user --password password

  4. Test SELECT using all columns

    SELECT *
FROM db1.table1


    Query id: 5576f4eb-7450-435c-a2d6-d6b49b7c4a23

0 rows in set. Elapsed: 0.006 sec.

Received exception from server (version 22.3.2):
Code: 497. DB::Exception: Received from localhost:9000. DB::Exception: column_user: Not enough privileges. To execute this query it's necessary to have grant SELECT(id, column1, column2) ON db1.table1. (ACCESS_DENIED)

    NOTE

    Access is denied since all columns were specified and the user only has access to id and column1

  5. Verify SELECT query with only columns specified and allowed:

    SELECT
    id,
    column1
FROM db1.table1


    Query id: cef9a083-d5ce-42ff-9678-f08dc60d4bb9

┌─id─┬─column1─┐
│  1 │ A       │
│  2 │ A       │
│  3 │ B       │
│  4 │ B       │
└────┴─────────┘

5. Testing role privileges with row restricted user

  1. Log into the ClickHouse client using row_user

    clickhouse-client --user row_user --password password

  2. View rows available

    SELECT *
FROM db1.table1


    Query id: a79a113c-1eca-4c3f-be6e-d034f9a220fb

┌─id─┬─column1─┬─column2─┐
│  1 │ A       │ abc     │
│  2 │ A       │ def     │
└────┴─────────┴─────────┘

4. Modifying Users and Roles

Users can be assigned multiple roles for a combination of privileges needed. When using multiple roles, the system will combine the roles to determine privileges, the net effect will be that the role permissions will be cumulative.

For example, if one role1 allows for only select on column1 and role2 allows for select on column1 and column2 then the user will have access to both columns.

  1. Using the admin account, create new user to restrict by both row and column with default roles

    CREATE USER row_and_column_user IDENTIFIED WITH plaintext_password BY 'password' DEFAULT ROLE A_rows_users;

  2. Remove prior privileges for A_rows_users role

    REVOKE SELECT(id, column1, column2) ON db1.table1 FROM A_rows_users;

  3. Allow A_row_users role to only select from column1

    GRANT SELECT(id, column1) ON db1.table1 TO A_rows_users;

  4. Log into the ClickHouse client using row_and_column_user

    clickhouse-client --user row_and_column_user --password password;

  5. Test with all columns:

    SELECT *
FROM db1.table1


    Query id: 8cdf0ff5-e711-4cbe-bd28-3c02e52e8bc4


0 rows in set. Elapsed: 0.005 sec.

Received exception from server (version 22.3.2):
Code: 497. DB::Exception: Received from localhost:9000. DB::Exception: row_and_column_user: Not enough privileges. To execute this query it's necessary to have grant SELECT(id, column1, column2) ON db1.table1. (ACCESS_DENIED)
```

  1. Test with limited allowed columns:

    SELECT
    id,
    column1
FROM db1.table1


    Query id: 5e30b490-507a-49e9-9778-8159799a6ed0

┌─id─┬─column1─┐
│  1 │ A       │
│  2 │ A       │
└────┴─────────┘

  2. Examples on how to delete privileges, policies, unassign users from roles, delete users and roles:

    • Remove privilege from a role
    REVOKE SELECT(column1, id) ON db1.table1 FROM A_rows_users;

    • Delete a policy
    DROP ROW POLICY A_row_filter ON db1.table1;

    • Unassign a user from a role
    REVOKE A_rows_users FROM row_user;

    • Delete a role
    DROP ROLE A_rows_users;

    • Delete a user
    DROP USER row_user;

5. Troubleshooting

  1. There are occasions when privileges intersect or combine to produce unexpected results, the following commands can be used to narrow the issue using an admin account

    • Listing the grants and roles for a user
    SHOW GRANTS FOR row_and_column_user


    Query id: 6a73a3fe-2659-4aca-95c5-d012c138097b

┌─GRANTS FOR row_and_column_user───────────────────────────┐
│ GRANT A_rows_users, column1_users TO row_and_column_user │
└──────────────────────────────────────────────────────────┘

    • List roles in ClickHouse
    SHOW ROLES


    Query id: 1e21440a-18d9-4e75-8f0e-66ec9b36470a

┌─name────────────┐
│ A_rows_users    │
│ column1_users   │
└─────────────────┘

    • Display the policies
    SHOW ROW POLICIES


    Query id: f2c636e9-f955-4d79-8e80-af40ea227ebc

┌─name───────────────────────────────────┐
│ A_row_filter ON db1.table1             │
│ allow_other_users_filter ON db1.table1 │
└────────────────────────────────────────┘

    • View how a policy was defined and current privileges
    SHOW CREATE ROW POLICY A_row_filter ON db1.table1


    Query id: 0d3b5846-95c7-4e62-9cdd-91d82b14b80b

┌─CREATE ROW POLICY A_row_filter ON db1.table1────────────────────────────────────────────────┐
│ CREATE ROW POLICY A_row_filter ON db1.table1 FOR SELECT USING column1 = 'A' TO A_rows_users │
└─────────────────────────────────────────────────────────────────────────────────────────────┘

Summary

This article demostrated the basics of creating SQL users and roles and provided steps to set and modify privileges for users and roles. For more detailed information on each please refer to our user guides and reference documenation.


 

行走在云端z
关注
专栏目录
ClickHouse 创建用户/角色/行权限策略/配额 Quota 限流等
程序员光剑
04-02 1万+
1.1.数据控制数据控制语言( DCL ) 是一种类似于计算机编程语言的语法,用于控制对存储在数据库中的数据的访问(授权)。特别是,它是结构化查询语言(SQL) 的一个组件。数据控制语言是 SQL 命令中的逻辑组之一。DCL 命令的示例包括:1. GRANT允许指定的用户执行指定的任务。2. REVOKE删除用户数据库对象的可访问性。ClickHouse 支持基于 R......
[ClickHouse] 管理用户权限的两种方案
weixin_42902669的博客
05-27 2758
目录1. 序言2. 通过配置文件管理用户权限3. 通过 SQL 驱动方式管理用户权限3.1 开启SQL驱动方式的访问权限和账户管理3.1 创建用户3.2 创建角色3.3 为用户角色赋予权限3.4 从用户撤销权限 1. 序言 一般情况下, 可以通过配置文件/etc/clickhouse-server/users.xml来设置用户权限, 比如设置用户的资源占用/参数取值/对某个数据库的读写权限等. 但是对于一些更精细的权限管理, 使用配置文件很难实现或者实现起来特别麻烦, 比如考虑这样一个应用场景: 有两个数
Code: 497. DB::Exception: Received from localhost:9000. DB::Exception: default: Not enough privilege
u011458344的专栏
10-08 856
【代码】Code: 497. DB::Exception: Received from localhost:9000. DB::Exception: default: Not enough privilege。
ClickHouse用户配置详解及SQL用户配置
style_boy的博客
03-18 2411
在之前的ClickHouse版本中,我们只能通过修改users.xml文件来配置用户及相关的参数(权限、资源限制、查询配额等),不是很方便。好在从20.5版本起,ClickHouse开始支持SQL化的用户配置(如同MySQL、PostgreSQL一样),易用性增强了很多。 新特性介绍之前我们先温习下 users.xml 配置文件,它主要由以下三部分配置组成: profile标签:类似用户角色,可以实现最大内存、负载方式等配置。 可定义多个profile,并为不同的profile定义不同的配置 <!
ClickHouse:【SQL 错误 [62] [07000]: Code: 62. DB::Exception: Syntax error:
最新发布
weixin_53132877的博客
07-12 717
MMP有没有人能告诉我为啥..................................成功了...........................
Clickhouse创建用户
热门推荐
u014650965的博客
01-16 1万+
clickhouse创建用户 clickhouse创建新用户并配置权限,需要修改配置文件users.xml 其中,要配置的内容包括: 1)用户名,设为test 2)密码,需事先确定好,并用sha256加密。 3)可访问的数据库,设为test 具体操作步骤如下: 1. 设置密码并加密 假设密码为xxxxx,利用以下python代码可以得到sha256加密后的字符串: import hashlib hashlib.sha256('xxxxx').hexdigest() 2. 修改配置文件 users.xml
ClickHouse新特性之SQL用户配置
LittleMagic's Blog
09-04 1022
Friday night,写篇超短文吧。 在之前的ClickHouse版本中,我们只能通过修改users.xml文件来配置用户及相关的参数(权限、资源限制、查询配额等),不是很方便。好在从20.5版本起,ClickHouse开始支持SQL化的用户配置(如同MySQL、PostgreSQL一样),易用性增强了很多。 SQL用户配置默认是关闭的,要启用它,需要在users.xml中的一个用户(一般就...
CLICKHOUSE 创建用户和授权
kangseung的博客
01-21 2221
#创建用户 CREATE USER user_01 IDENTIFIED WITH PLAINTEXT_PASSWORD BY '123' #授权 *.* 前面是数据库 后面表名 GRANT ALL ON *.* TO john; #取消授权 REVOKE SELECT ON customtablename.* FROM john; 查看授权情况 SHOW GRANTS FOR lkt 查看用户 show users ...
clickhouse专栏】新建库、用户角色
字母哥博客
06-11 2007
clickhouse创建数据库的语法几乎和其他的关系型数据库是一样的,区别就是clickhouse存在集群cluster和库引擎engine的概念,可以根据需要进行指定。用户有读写的权限。如果你在安装的时候,没有修改数据库文件目录,默认的目录是。我们可以使用下面的命令,将该目录及其子目录的属主修改为clickhouse用户。...
ansible-role-clickhouse:ClickHouse角色
05-15
"ansible-role-clickhouse" 是一个专门针对 ClickHouse 的 Ansible 角色,旨在帮助用户自动化 ClickHouse 的安装、配置和管理过程。角色包含了所有必要的任务(tasks)、变量(variables)、模板(templates)和文件...
Linux下ClickHouse安装使用手册
04-03
- 支持SQL:提供SQL接口,易于使用和集成。 - 分布式处理:可构建多节点集群,实现数据的横向扩展。 - 索引优化:支持主键和覆盖索引,加快查询速度。 - 内存计算:大部分计算在内存中完成,减少磁盘I/O。 3. Linux...
clickhouseSQL参考——(五)system、set和权限相关
Aiky哇
12-01 2117
参考资料 https://clickhouse.tech/docs/en/sql-reference/statements 版本:v20.11 由于官方对这些小项的介绍很简短,于是对其进行了整理归纳。 SYSTEM语句 以下查询语句均以SYSTEM开头,格式为SYSTEM [相关语句]。 RELOAD EMBEDDED DICTIONARIES 重新加载所有内部词典(Internal dictionaries.)。 默认情况下,内部字典是禁用的。 始终返回OK,无论内部字典更新的结果如何.
ClickHouse中创建用户数据库并进行权限分配
u011197085的博客
12-26 3047
ClickHouse中创建用户数据库并进行权限分配是一个重要的管理任务,它涉及到安全性和访问控制。下面是一个基本的指南来帮助你完成这些操作: 1. 创建数据库 首先,需要创建一个数据库使用以下命令: CREATE DATABASE IF NOT EXISTS your_database_name; 将 your_database_name 替换为你想要的数据库名。 2. 创建用户 接下来,创建一个新用户使用以下命令: CREATE USER your_username IDENTIFIED WIT
Clickhouse 用户准入控制与权限分配 附主要配置步骤细节及示例 (主要参考 Clickhouse 官方文档)
知行合一
06-27 2239
本文档参考官方文档总结了 Clickhouse 集群准入控制与用户权限管理的建设及管理的基本方法。
clickhouse-用户角色
line_on_database的博客
08-01 2786
​。
clickhouse(三):创建登录用户与设置角色权限
qq_38830964的博客
03-02 6328
由于clickhouse自带的默认用户只有一个(default),在实际的使用过程中,经常需要根据不同的使用人员创建不同类型的角色账号。 创建一个新账号与设置角色权限 在/etc/clickhouse-server 目录下,编辑users.xml,其中的<users>标签定义用户的相关配置信息,其结构如下: <users> <username> <!--用户登录名--> <p.
ClickHouse新增用户、赋予权限及其三种连接测试方式
若兰幽竹
12-22 6537
ClickHouse新增用户、赋予权限及其三种连接测试方式
ClickHouse【环境搭建 01】Linux环境单机版在线安装 Code:210.DB::NetException + Init script is already running 问题处理
Java与大数据相关实践内容分享!
07-07 2634
ClickHouse【环境搭建 01】Linux环境在线安装单机版 Code:210.DB::NetException + Init script is already running 问题处理
Clickhouse 多路径存储策略
vkingnew 的技术博客
06-14 4944
Clickhouse 19.15版本之前,MergeTree 只支持单路径存储,所有的数据都会被写入config.xml配置中path指定的路径下,即使服务器 挂载了多块磁盘,也无法有效利用这些存储空间。 为了解决这种问题 在19.15版本开始支持MergeTree自定义存储策略的功能,支持以数据分区为最小移动单元将分区目录写入多块磁盘目录。 根据配置策略的不同,目前大致有三类存储策略: 1.默认策略(default):MergeTree原本的存储策略,无须任何配置,所有分区会自动保存到config.
clickhouseSQL操作和MYSQL有区别嘛
05-18
虽然 ClickHouse 和 MySQL 都是关系型数据库,但是它们的 SQL 语法和操作方式确实有一些不同。以下是一些 ClickHouse SQL 操作和 MySQL 的区别: 1. 数据类型:ClickHouse 支持更多的数据类型,如 Array、Tuple、Enum 等,而 MySQL 不支持。 2. 存储方式:ClickHouse 使用列式存储,而 MySQL 使用行式存储。这意味着在 ClickHouse 中,每个列都是独立存储的,而在 MySQL 中,每个行都是独立存储的。 3. 聚合函数:ClickHouse 提供了更多的聚合函数,如 quantile、median、argMax 等,而 MySQL 不支持或支持较少。 4. 索引:ClickHouse 的索引是在每个分片中独立维护的,而 MySQL 的索引是全局维护的。 5. 分布式查询:ClickHouse 支持分布式查询,可以将查询分散到多个节点上进行处理,而 MySQL 不支持。 总的来说,ClickHouse 和 MySQLSQL 操作上有一些不同,需要根据具体的需求和场景选择使用哪种数据库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值