ClickHouse: 权限控制-喀秋莎发射指北

最新推荐文章于 2024-06-11 16:20:51 发布
最新推荐文章于 2024-06-11 16:20:51 发布
阅读量6.3k 收藏 10
点赞数 3
文章标签: 数据库 mysql java linux oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39014602/article/details/106346240
版权
本文详细介绍了ClickHouse的权限控制机制,包括用户帐户、角色、行策略、设置配置文件和配额。建议使用SQL语句进行权限管理,支持RBAC方法。同时讲解了如何通过配置文件users.xml和config.xml设置权限,强调了不能同时使用两种方法管理同一访问实体。文章还提供了各种权限相关的SQL命令示例以及配置文件的管理技巧。
摘要由CSDN通过智能技术生成


古语有云:“道路千万条,安全第一条,开车不规范,亲人两行泪”

纵观历史上的知名删库跑路战役,MongoDB、ES、Redis之前都出过由于权限缺失导致的重大安全事故。

ClickHouse 的访问控制包括以下元素:

- 用户帐户

- 角色(Role)

- 行策略(Row Policy)

- 设置配置文件(Profile)

- 配额(Quota)

配置访问权限方式有两种:

  • SQL语句的工作流,类似MySQL。默认关闭需要启用此功能。

  • 服务器配置文件 users.xml 和 config.xml 

目前两种方式同时生效,如果使用服务器配置文件来管理用户和访问权限,可以轻松地过渡到基于SQL语句的。

但是要注意:不能通过两种配置方法同时管理同一访问实体。

下面就对这两种方式分别测试下。

基于SQL方式的权限管理

官方建议使用SQL语句的方式来管理权限,虽然这是在最近版本中才加入的。

ClickHouse新版本已支持基于RBAC方法的访问控制管理

关于RBAC:

https://en.wikipedia.org/wiki/Role-based_access_control

默认情况下,ClickHouse服务器使用用户default连接数据库,它具有所有的权限,不需要密码。但却是基于配置文件管理的。

新部署的ClickHouse建议使用以下方式管理用户:

  1. 为default用户启用 SQL方式 的访问控制

  2. 用default用户登录并创建所有必需的用户。

    建议创建一个管理员帐户:

    GRANT ALL ON *.* TO ch_dba WITH GRANT OPTION

  3. 限制default用户权限,并禁用 SQL方式 访问控制和帐户管理。

举个例子:

# 直接建立用户会报错:

bj80 :) CREATE USER ch_dba HOST IP '127.0.0.1' IDENTIFIED WITH sha256_password BY 'qwerty'; 

CREATE USER ch_dba IDENTIFIED WITH sha256_hash BY '65E84BE33532FB784C48129675F9EFF3A682B27168C0EA744B2CF58EE02337C5' HOST LOCAL

Received exception from server (version 20.4.2):
Code: 497. DB::Exception: Received from localhost:9000. DB::Exception: default: Not enough privileges. To execute this query it s necessary to have the grant CREATE USER ON *.*. 

0 rows in set. Elapsed: 0.811 sec. 

# 修改配置文件 

    /etc/clickhouse-server/users.xml

# 在user  default 用户里添加一行 access_management 参数启动SQL方式认证 (1启动 0禁止,默认0)

    <users>
        <default>
            <!-- User can create other users and grant rights to them. -->
            <!-- <access_management>1</access_management> -->
            <access_management>1</access_management>
        </default>
    </users>

# 再次建用户成功了:

bj80 :) CREATE USER ch_dba HOST IP '127.0.0.1' IDENTIFIED WITH sha256_password BY 'qwerty';

CREATE USER ch_dba IDENTIFIED WITH sha256_hash BY '65E84BE33532FB784C48129675F9EFF3A682B27168C0EA744B2CF58EE02337C5' HOST LOCAL

Ok.

0 rows in set. Elapsed: 0.001 sec. 

bj80 :) 

# 对DBA用户进行授权:(官方文档中的语法有误,WITH GRANT OPTION要放在最后)

bj80 :) GRANT ALL ON *.* WITH GRANT OPTION TO ch_dba;

Syntax error: failed at position 18:

GRANT ALL ON *.* WITH GRANT OPTION TO ch_dba;

Expected one of: Comma, ON, TO, token

bj80 :) GRANT ALL ON *.* TO ch_dba WITH GRANT OPTION;

GRANT ALL ON *.* TO ch_dba WITH GRANT OPTION

Ok.

0 rows in set. Elapsed: 0.001 sec. 

bj80 :) 

# 检查下权限:

bj80 :) show create user ch_dba;

SHOW CREATE USER ch_dba

┌─CREATE USER ch_dba────────────┐
│ CREATE USER ch_dba HOST LOCAL │
└───────────────────────────────┘

1 rows in set. Elapsed: 0.001 sec. 

bj80 :) show grants for ch_dba;

SHOW GRANTS FOR ch_dba

┌─GRANTS FOR ch_dba────────────────────────────┐
│ GRANT ALL ON *.* TO ch_dba WITH GRANT OPTION │
└──────────────────────────────────────────────
最低0.47元/天 解锁文章
万能修实验室
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
STM32F103播放游山恋 喀秋莎
11-05
STM32F103系列微控制器是基于ARM Cortex-M3内核的嵌入式处理器,广泛应用于各种电子设计,包括音频播放等应用。在这个项目中,我们将探讨如何使用STM32F103来播放《游山恋》和《喀秋莎》这两首歌曲。 首先,我们要...
ClickHouse—用户权限控制
mnasd的博客
10-28 3674
ClickHouse使用Role-Based Access Control(RBAC),进行用户权限管理。用户()角色(Role)权限策略(Row Policy)配置文件()资源配额(Quota)可以通过两种方式对ClickHouse进行权限控制。类似于MySQL的SQL驱动权限控制(SQL-driven workflow)该方法默认关闭,需要开启(具体操作请看下文)SQL-driven workflow方式在20.1.2.4版本才开始支持通过配置文件进行权限控制(users.xml。
clickhouse 运维中遇到的问题
h952520296的博客
12-17 9442
1,Notenoughprivileges.Toexecutethisqueryit'snecessarytohavethegrantMYSQLON*.*(version20.12.3.3(officialbuild)) clickhouse 文档里没说 有个隐藏的权限 mysql 用来赋予
ClickHouse快速安装教程(MacOS)
最新发布
AHAO的博客
06-11 1358
是一个用于在线分析处理(OLAP)的高性能、面向列的SQL数据库管理系统(DBMS)。ClickHouse专门针对大规模数据分析和实时查询的场景进行优化。它被设计用于高效处理PB级以上的数据,并能在秒级内完成复杂的查询分析。OLAP场景的关键特征绝大多数是读请求数据以相当大的批次(> 1000行)更新,而不是单行更新;或者根本没有更新。已添加到数据库的数据不能修改。对于读取,从数据库中提取相当多的行,但只提取列的一小部分。宽表,即每个表包含着大量的列。
Code: 497. DB::Exception: Received from localhost:9000. DB::Exception: default: Not enough privilege
u011458344的专栏
10-08 768
【代码】Code: 497. DB::Exception: Received from localhost:9000. DB::Exception: default: Not enough privilege。
clickhouse 如何使用SQL 管理用户和角色
pang_2899的博客
08-10 3495
clickhouse 用户权限管理
ClickHouse新增用户、赋予权限及其三种连接测试方式
若兰幽竹
12-22 6367
ClickHouse新增用户、赋予权限及其三种连接测试方式
Clickhouse数据库引擎Mysql
chenzuoli的博客
03-12 2478
今天介绍一个数据库引擎mysql,它能够做到访问和操作mysql的数据。
喀秋莎串词参考.doc
09-17
喀秋莎串词参考.doc
利用喀秋莎制作微课PPT学习教案.pptx
10-04
喀秋莎制作微课PPT学习教案 本教案旨在指导使用喀秋莎软件制作微课PPT,涵盖了从安装喀秋莎软件到生成视频的整个过程。下面是详细的知识点说明: 第一部分:安装喀秋莎软件 * 安装喀秋莎软件需要注意的问题(第3...
初中语文文摘人生喀秋莎
09-09
这个文本虽然标题为"初中语文文摘人生喀秋莎",但它实际上讲述的是一段战争背景下的故事,而非直接的IT知识点。故事发生在二战时期,涉及到士兵的情感、荣誉感以及对祖国文化的认同。这里我们可以提炼出以下几个知识...
喀秋莎入门全套课程.txt
08-30
这个软件我是非常喜欢实用,除了处理一些复杂的视频我会用pr,简单的一些视频的处理,我会使用这款软件,而且是可以无水印输出呢。你值得拥有哦!
clickhouse笔记(入门+部分进阶)
m0_50896456的博客
08-08 2404
文章目录ClickHouse学习笔记一、ClickHouse的安装准备工作1.确定防火墙处于关闭状态2.CentOS取消打开文件数限制3.安装依赖4.CendtOS取消SELINUX安装1.将文件传到clickhouse目录下,并安装2.修改配置文件简单使用clickhouse二、数据类型整型浮点型Decimal 型字符串枚举类型时间类型数组三、表引擎TinyLogMemoryMergeTreepartition by 分区(可选)primary key 主键(可选)order by(必选)二级索引数据 T
ClickHouse【环境搭建 02】设置用户密码的两种方式(明文+SHA256)及新用户添加及只读模式 Cannot execute query in readonly mode 问题解决
Java与大数据相关实践内容分享!
07-09 3521
ClickHouse 设置用户密码的两种方式(明文+SHA256)及新用户添加及只读模式 Cannot execute query in readonly mode 问题解决
ClickHouse 错误Received from localhost:9000. DB::Exception: Cannot convert NULL value to non-Nullable
80后大叔爱学习
05-04 5737
常见转换错误
ClickHouse创建MySql引擎报错(Code: 501)
小嗨嗨的博客
08-06 4958
日常踩坑,记录问题解决思路及过程! 最近工作中用到ClickHouse,并且需要同步MySql数据库中的数据,因此就想到使用ClickHouseMySql数据库引擎,结果“勇敢的少年,倒在了第一步”。在ClickHouse客户端执行下面的Sql时报错了 CREATE DATABASE practice ENGINE = MySQL('IP:PORT','practice','用户名', '密码'); 报错信息如下: Received exception from server (version
ClickHouse集群搭建总结
csdncjh的博客
06-02 2292
ClickHouse是俄罗斯最大的搜素引擎Yandex于2016年开源的列式数据库管理系统,使用C++ 语言编写, 主要应用于OLAP场景。使用理由在大数据量的情况下,能以很低的延迟返回查询结果。笔者注: 在单机亿级数据量的场景下可以达到毫秒级的查询性能,单机能处理百亿的数据量, 聚合、计数、求和等统计操作的性能是MySQL的100倍。
176.You executed this command to create a temporary table: SQL> CREATE GLOBAL TEMPORARY TABLE report
dwj19830118的专栏
08-08 1384
176.You executed this command to create a temporary table: SQL> CREATE GLOBAL TEMPORARY TABLE report_work_area ( startdate DATE, enddate DATE, class CHAR(20) ) ON COMMIT PRESERVE ROWS; Which statement is true about the rows inserted into the REPORT
clickhouse 多用户_ClickHouse之访问权限控制
weixin_33739387的博客
01-14 1374
研究ClickHouse也有几周了,今天来和大家说说ClickHouse的访问权限是怎么做的,ClickHouse不像MySQL那样,直接创建用户,而是需要在配置文件里面添加用户,一个简单的例子如下:60cd41aedc4e47e8883682b416109e7b7e345e15decc63c2c98ecdab5e8e053areadonlydefaultdefault默认的配置文件路径是:/et...
ClickHouse企业实战:大厂案例与技术解析
- 分布式:ClickHouse支持分布式部署,能够轻松扩展以处理海量数据。 - 列式存储:与行式存储相比,列式存储在分析场景中能提供显著的性能提升,因为列式存储可以高效地处理特定列的数据。 - 异步复制:保证数据...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值