不能同时使用这两种配置方式管理同一个访问实体。
如果你想管理 ClickHouse Cloud 控制台用户,请参阅此页面
SHOW ACCESS 语句。
概述
default 用户账户。该账户不能使用基于 SQL 的访问控制与账户管理,但拥有全部权利和权限。凡是未指定用户名的情况,都会使用 default 用户账户,例如从客户端登录时或在分布式查询中。如果 server 或 cluster 的配置中未指定 user and password 属性,则在分布式查询处理过程中会使用默认用户账户。
如果你刚开始使用 ClickHouse,可以参考以下场景:
- 为
default用户启用基于 SQL 的访问控制与账户管理。 - 登录
default用户账户并创建所有必需的用户。别忘了创建管理员账户 (GRANT ALL ON *.* TO admin_user_account WITH GRANT OPTION) 。 - 为
default用户限制权限,并为其禁用基于 SQL 的访问控制与账户管理。
当前解决方案的特性
- 即使数据库和表不存在,你也可以授予相应权限。
- 如果某个表被删除,与该表对应的所有特权都不会被撤销。这意味着,即使你之后又创建了一个同名的新表,这些特权仍然有效。要撤销与已删除表对应的特权,你需要执行例如
REVOKE ALL PRIVILEGES ON db.table FROM ALL的查询。 - 特权没有有效期设置。
用户账户
- 身份信息。
- 定义用户可执行查询范围的特权。
- 允许连接到 ClickHouse server 的主机。
- 已分配的角色和默认角色。
- 用户登录时默认应用的设置及其约束。
- 已分配的 SETTINGS PROFILE。
设置的应用方式
- 用户账户的设置。
- 用户账户默认角色的设置。如果某项设置在多个角色中都进行了配置,则其生效顺序未定义。
- 分配给用户或其默认角色的 SETTINGS PROFILE 中的设置。如果某项设置在多个 profile 中都进行了配置,则其生效顺序未定义。
- 默认应用于整个服务器的设置,或来自默认 profile的设置。
角色
- 特权
- 设置和约束
- 已分配的角色列表
行策略
只有在你拥有只读访问权限时,行策略才有意义。如果你可以修改表,或在表之间复制分区,行策略的限制就会被绕过。
SETTINGS PROFILE
- CREATE SETTINGS PROFILE
- ALTER SETTINGS PROFILE
- DROP SETTINGS PROFILE
- SHOW CREATE SETTINGS PROFILE
- SHOW PROFILES
配额
启用 SQL 驱动的访问控制与账户管理
- 设置用于存储配置的目录。 ClickHouse 会将访问实体配置存储在服务器配置参数 access_control_path 指定的文件夹中。
-
为至少一个用户账户启用 SQL 驱动的访问控制与账户管理。
默认情况下,所有用户的 SQL 驱动访问控制与账户管理均处于禁用状态。你需要在
users.xml配置文件中至少配置一个用户,并将access_management、named_collection_control、show_named_collections和show_named_collections_secrets这些设置的值设为 1。
定义 SQL 用户和角色
启用 SQL 用户模式
- 在
users.xml文件中,为<default>用户启用 SQL 用户模式:
default 用户是全新安装后唯一会创建的用户,默认情况下也作为节点间通信使用的账户。在生产环境中,建议在使用 SQL 管理员用户完成节点间通信配置,并通过 <secret>、集群凭据和/或节点间 HTTP 及传输协议凭据设置好节点间通信后,禁用该用户,因为 default 账户默认用于节点间通信。- 重启各节点以应用更改。
-
启动 ClickHouse 客户端:
定义用户
- 创建一个 SQL 管理员账户:
- 为新用户授予完整的管理权限
ALTER 权限
ALTER 语句时,这些权限如何生效。
ALTER 语句分为几个类别,其中一些具有层级关系,另一些则没有,因此必须显式定义。
示例 DB、表和用户配置
- 使用管理员用户创建一个示例用户
- 创建示例数据库
- 创建样本表
- 创建一个管理员示例用户,用于授予/撤销特权
要授予或撤销权限,管理员用户必须具有 要执行
WITH GRANT OPTION 权限。
例如:GRANT 或 REVOKE 操作,用户必须先拥有相应的特权。ALTER 层级结构:
- 向用户或角色授予
ALTER特权
GRANT ALTER on *.* TO my_user 仅会影响顶层的 ALTER TABLE 和 ALTER VIEW,其他 ALTER 语句必须分别授予或撤销。
例如,授予基本的 ALTER 特权:
ALTER TABLE 和 ALTER VIEW 下的所有特权,但不会授予某些其他 ALTER 特权,例如 ALTER ROW POLICY (回看权限层级即可发现,ALTER ROW POLICY 并不是 ALTER TABLE 或 ALTER VIEW 的子项) 。这些特权必须显式地授予或撤销。
如果只需要 ALTER 特权中的一部分,则可以分别授予每一项;如果某项特权下还有子特权,这些子特权也会自动一并授予。
例如:
- 撤销用户和角色的
ALTER权限
REVOKE 语句的用法与 GRANT 语句类似。
如果某个用户/角色已被授予某项子权限,您既可以直接撤销该子权限,也可以撤销其所继承的上级权限。
例如,如果用户被授予了 ALTER ADD COLUMN 权限
WITH GRANT OPTION 及相应权限本身的用户来授予。
- 向管理员用户授予该权限,并允许其管理一组权限 以下是示例:
ALTER COLUMN 及其所有子权限。
测试
- 授予
SELECT权限
- 为用户授予添加列权限
- 以受限用户身份登录
- 测试添加列
- 测试删除列
- 通过授予该权限来测试 ALTER ADMIN
- 以 alter admin 用户身份登录
- 授予子权限
- 测试授予一项 alter admin 用户不具备,且不属于 admin 用户已获授权子权限的权限。
ALTER,ALTER 权限是分层的;但对于其他 ALTER 语句则不是。权限既可以按细粒度设置,也可以按权限组进行设置,撤销时也是如此。执行授予或撤销操作的用户必须具有 WITH GRANT OPTION,才能为用户 (包括其自身) 设置权限,并且还必须已经拥有相应的权限。如果当前操作用户本身没有授予选项权限,就不能撤销自己的权限。