ClickHouse进阶(十九):clickhouse管理与运维-权限管理

news2024/12/30 3:52:24

进入正文前,感谢宝子们订阅专题、点赞、评论、收藏!关注IT贫道,获取高质量博客内容!

🏡个人主页:IT贫道_大数据OLAP体系技术栈,Apache Doris,Kerberos安全认证-CSDN博客

📌订阅:拥抱独家专题,你的订阅将点燃我的创作热情!

👍点赞:赞同优秀创作,你的点赞是对我创作最大的认可!

⭐️ 收藏:收藏原创博文,让我们一起打造IT界的荣耀与辉煌!

✏️评论:留下心声墨迹,你的评论将是我努力改进的方向!

 博主个人B栈地址:豹哥教你大数据的个人空间-豹哥教你大数据个人主页-哔哩哔哩视频


目录

1. 访问权限

1.1 网络访问权限

1.2 数据库与字典访问权限

2. ​​​​​​​查询权限

2.1 readonly

2.2allow_ddl

​​​​​​​3. 数据行级权限


clickhouse从访问、查询和数据角度提供了一个较为立体的权限体系。

​​​​​​​1. 访问权限

访问权限是整个权限体系的第一层防护,可以分为两类权限。

1.1 网络访问权限

网络权限使用networks标签设置,用户限制某个用户登录的客户端地址,例如,修改users.xml文件:

<zhangsan>

<!-- 设置用户允许登录的网络地址 -->

<networks>

<!-- 限制在此ip登录 -->

<ip>192.168.179.5</ip>

</networks>

</zhangsan>

修改之后,在node1(192.168.179.4)上登录zhangsan用户登录不上。

[root@node1 logs]# clickhouse-client -u zhangsan --password 123456

clickhouse client version 21.9.4.35 (official build).

Connecting to localhost:9000 as user zhangsan.

Code: 516. DB::Exception: Received from localhost:9000. DB::Exception: zhangsan: Authentication failed: password is incorrect or there is no user with such name. (AUTHENTICATION_FAILED)

1.2 数据库与字典访问权限

当客户端连入clickhouse之后,可以进一步限制某个用户数据库和字典的访问权限,可以通过<allow_database>和<allow_dictionaries>标签进行设置,如果不进行任何定义则表示不进行限制。

现在针对用户zhangsan只能使用default库,在users.xml中的配置如下:

<zhangsan>

<!-- 设置用户访问数据库 -->

<allow_databases>

<database>default</database>

<database>datasets</database>

</allow_databases>

</zhangsan>

配置完成之后,使用zhangsan用户重新登录clickhouse,查看数据库:

node1 :) show databases;

┌─name─────┐

│ datasets │

│ default  │

└──────────┘

2. ​​​​​​​查询权限

查询权限是整个权限体系的第二层防护,它决定了一个用户能够执行的查询语句,查询权限可以分为以下四类:

  1. 读权限:包括SELECT、EXISTS、SHOW和DESCRIBE查询。
  2. 写权限:包括INSERT和OPTIMIZE查询。
  3. 设置权限:包括SET查询。
  4. DDL权限:包括CREATE、DROP、ALTER、RENAME、ATTACH、DETACH和TRUNCATE查询。

上述四类权限,可以通过以下两项配置标签控制:

2.1 readonly

读权限、写权限和设置权限均由此标签控制,它有三种取值:

  • 当取值为0时,不进行任何限制(默认值)
  • 当取值为1时,只拥有读权限(只能执行SELECT、EXISTS、SHOW和DESCRIBE)
  • 当取值为2时,拥有读权限和设置权限(在读权限基础上,增加了SET查询)

2.2allow_ddl

DDL权限由此标签控制,它有两种取值:

  • 当取值为0时,不允许DDL查询。
  • 当取值为1时,允许DDL查询(默认值)。

此外,需要注意的是readonly和allow_ddl需要定义在用户使用的profiles角色中。

查询权限测试如下:

首先,在users.xml中增加新角色normal,并配置只有read读权限,配置如下:

<yandex>

<!-- 配置profiles -->

<profiles>

        ... ...

        <!-- 自定义角色normal,只有read读权限 -->

        <normal>

             <readonly>1</readonly>             

             <allow_ddl>0</allow_ddl>

        </normal>

... ...

</profiles>

... ...

</yandex>

其次在users.xml中给zhangsan配置角色为normal:

<!-- 用户使用的profile 角色 -->

<zhangsan>

... ...

<profile>normal</profile>

</zhangsan>

配置完成之后,使用用户zhangsan登录clickhouse,做如下操作:

#创建数据库
node1 :) create database aaa;

 DB::Exception: zhangsan: Not enough privileges. To execute this query it's necessary to have grant CREATE DATABASE ON aaa.*. (ACCESS_DENIED)



#查询表person_info中数据

node1 :) select * from person_info;

┌─id─┬─name─┬─age─┬─gender─┬─loc─────┐

│  1 │ zs   │  18 │ m      │ beijing │

│  3 │ ww   │  20 │ m      │ beijing │

└────┴──────┴─────┴────────┴─────────┘

┌─id─┬─name─┬─age─┬─gender─┬─loc──────┐

│  2 │ ls   │  19 │ f      │ shanghai │

│  4 │ ml   │  21 │ m      │ shanghai │

└────┴──────┴─────┴────────┴──────────┘



#向表person_info中插入数据

node1 :) insert into person_info values (5,'xx',10,'f','beijing');
DB::Exception: zhangsan: Cannot execute query in readonly mode. (READONLY)

通过以上测试我们发现权限已经生效。

​​​​​​​3. 数据行级权限

数据权限是整个权限体系中的第三层防护,决定了一个用户能够看到什么数据。数据权限使用database标签定义,是用户定义中的一项选填设置,database通过定义用户级别的查询过滤器来实现数据的行级粒度权限,定义规则如下:

<databases>

<database_name><!-- 数据库名称 -->

<table_name><!-- 表名称 -->

<filter>id < 10</filter><!-- 数据过滤条件 -->

</table_name>

</database_name>

</databases>

以上标签中database_name是数据库名称,table_name是表名称,而filter则是权限过滤的关键,等同于定义了一条where条件,支持组合条件。

下面测试数据权限,给用户zhangsan限制读取表person_info数据中id<=2 或者id=4的数据,配置users.xml如下:

<zhangsan>

... ...

<databases>

<default><!-- 数据库名称 -->

<person_info><!-- 表名称 -->

<!-- 过滤条件id <=2 or id =4 -->

<filter>id<=2 or id=4 </filter> <!-- 数据过滤条件 --> </person_info>

</default>

</databases>

</zhangsan>

注意:

< 表示小于号
> 表示大于号

以上配置完成之后,使用zhangsan登录clickhouse查询数据,结果如下:

node1 :) select * from person_info;

┌─id─┬─name─┬─age─┬─gender─┬─loc─────┐

│  1 │ zs   │  18 │ m      │ beijing │

└────┴──────┴─────┴────────┴─────────┘

┌─id─┬─name─┬─age─┬─gender─┬─loc──────┐

│  2 │ ls   │  19 │ f      │ shanghai │

│  4 │ ml   │  21 │ m      │ shanghai │

└────┴──────┴─────┴────────┴──────────┘

可见配置的数据行级权限生效。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1024353.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

MySQL数据库——索引(1)-概述以及B-Tree结构

目录 索引概述 介绍 优缺点 索引结构&#xff08;1&#xff09; 介绍 二叉树 B-Tree 索引这一个章节将分为以下几个部分来学习&#xff1a; 索引概述索引结构索引分类索引语法SQL性能分析索引使用索引设计原则 索引概述 介绍 索引&#xff08;index&#xff09;是帮助M…

基于SSM的星空游戏购买下载平台

末尾获取源码 开发语言&#xff1a;Java Java开发工具&#xff1a;JDK1.8 后端框架&#xff1a;SSM 前端&#xff1a;采用JSP技术开发 数据库&#xff1a;MySQL5.7和Navicat管理工具结合 服务器&#xff1a;Tomcat8.5 开发软件&#xff1a;IDEA / Eclipse 是否Maven项目&#x…

RocketMq(四)消息分类

一、普通消息 1、同步发送消息&#xff1a;指的是Producer发出⼀条消息后&#xff0c;会在收到MQ返回的ACK之后才发下⼀条消息。该方式的消息可靠性最高&#xff0c;但消息发送效率低。 二、顺序消息 三、延时消息

JAVAAndroid实现MQTT上位机软件功能-订阅主题与发布主题

一、前言 本文我们将介绍Android或JAVA程序作为MQTT客户端连接MQTT服务器并订阅主题报文并发布主题报文&#xff0c;由于我的Android使用的也是JAVA语言&#xff0c;因此下面我们将使用IDEA完成JAVA程序&#xff0c;以实现订阅主题和发布主题的功能&#xff0c;该程序也可在后期…

MQ - 08 基础篇_消费者客户端SDK设计(下)

文章目录 导图Pre概述消费分组协调者消费分区分配策略轮询粘性自定义消费确认确认后删除数据确认后保存消费进度数据消费失败处理从服务端拉取数据失败本地业务数据处理失败提交位点信息失败总结导图 Pre

Linux系统编程(会话和进程)

文章目录 前言一、会话的概念二、会话和终端的区别三、终端进程组标识四、创建会话总结 前言 本篇文章我们来讲解会话和进程的概念&#xff0c;会话大家可能比较少见&#xff0c;他的英文名称叫session。 一、会话的概念 在Linux中&#xff0c;会话&#xff08;Session&…

9月15日上课内容 Zookeeper集群 + Kafka集群

Zookeeper 本章结构 Zookeeper 概述 Zookeeper 定义 *&#xff08;了解&#xff09; Zookeeper是一个开源的分布式的&#xff0c;为分布式框架提供协调服务的Apache项目。 Zookeeper 工作机制 *****&#xff08;非常重要&#xff0c;需要掌握&#xff09; Zookeeper从设计模式…

diffusers中DDPMScheduler/AutoencoderKL/UNet2DConditionModel/CLIPTextModel代码详解

扩散模型的训练时比较简单的 上图可见&#xff0c;unet是epsθ是unet。noise和预测出来的noise做个mse loss。 训练的常规过程&#xff1a; latents vae.encode(batch["pixel_values"].to(weight_dtype)).latent_dist_sample() latents latents*vae.config.scali…

QT连接Sqlite

使用QTCreator&#xff1b; 根据资料&#xff0c;Qt自带SQLite数据库&#xff0c;不需要再单独安装&#xff0c;默认情况下&#xff0c;使用SQLite版本3&#xff0c;驱动程序为***QSQLITE***&#xff1b; 首先创建项目&#xff1b;在 Build system 中应选中qmake&#xff0c;…

前端自定义导出PPT

1、背景 前端导出PPT&#xff0c;刚接触这个需求&#xff0c;还是比较懵逼&#xff0c;然后就在网上查找资料&#xff0c;最终确认是可行的&#xff1b;这个需求也是合理的&#xff0c;我们做了一个可视化数据报表&#xff0c;报表导出成PPT&#xff0c;将在线报表转成文档类型…

【数据库系统概论】关系数据库中的关系数据结构

前言关系关系模式关系数据库关系模型的存储结构感谢 &#x1f496; 前言 上一篇文章【数据库系统概论】数据模型介绍了数据库系统中的数据模型的基本概念。其中提到了关系模型是最重要的一种数据模型。下面将介绍支持关系模型的数据库系统——关系数据库。 按照数据模型的三大…

蓝牙核心规范(V5.4)10.5-BLE 入门笔记之HCI

HCI全称:HOST Constroller Interface 主机控制器接口(HCI)定义了一个标准化的接口,通过该接口,主机可以向控制器发出命令,并且控制器可以与主机进行通信。规范被分成几个部分,第一部分仅从功能的角度定义接口,不考虑具体的实现机制,而其他部分定义了在使用四种可能的…

Mac 上如何安装Mysql? 如何配置 Mysql?以及如何开启并使用MySQL

前言&#xff1a; 有许多开发的小伙伴&#xff0c;使用的是mac&#xff0c;那么在mac上如何安装&#xff0c;配置Mysql&#xff0c;以及使用Mysql了&#xff0c;今天来一个系统的教程。 安装Mysql 使用mysql前&#xff0c;我们需要先下载mysql&#xff0c;并按照以下几个步骤…

【Oracle】Oracle系列之四--用户管理

文章目录 往期回顾前言1. 创建/删除用户&#xff08;1&#xff09;创建用户&#xff08;2&#xff09;修改口令&#xff08;3&#xff09;删除用户 2. 用户授权管理&#xff08;1&#xff09;对用户直接授权&#xff08;2&#xff09;通过角色对用户授权 往期回顾 【Oracle】O…

Nodejs 相关知识

Nodejs是一个js运行环境&#xff0c;可以让js开发后端程序&#xff0c;实现几乎其他后端语言实现的所有功能&#xff0c;能够让js与其他后端语言平起平坐。 nodejs是基于v8引擎&#xff0c;v8是Google发布的开源js引擎&#xff0c;本身就是用于chrome浏览器的js解释部分&#…

day43 数据库

SQL分类 DDL&#xff1a;Date definition Language 数据定义语言 主要针对的是数据库对象进行创建修改删除的操作 包括&#xff1a;create, alter, drop, show, desc truncate DML&#xff1a;Data Manipulation Language 数据操作语言 对数据库中数据进行增加&#xff0c;修…

3D成像技术概述

工业4.0时代,三维机器视觉备受关注,目前,三维机器视觉成像方法主要分为光学成像法和非光学成像法,这之中,光学成像法是市场主流。 飞行时间3D成像 飞行时间成像(Time of Flight),简称TOF,是通过给目标连续发送光脉冲,然后用传感器接收从物体返回的光,通过探测光脉…

国庆中秋特辑(二)浪漫祝福方式 使用生成对抗网络(GAN)生成具有节日氛围的画作

要用人工智能技术来庆祝国庆中秋&#xff0c;我们可以使用生成对抗网络&#xff08;GAN&#xff09;生成具有节日氛围的画作。这里将使用深度学习框架 TensorFlow 和 Keras 来实现。 一、生成对抗网络&#xff08;GAN&#xff09; 生成对抗网络&#xff08;GANs&#xff0c;…

基于Yolov8的野外烟雾检测(4):通道优先卷积注意力(CPCA),效果秒杀CBAM和SE等 | 中科院2023最新发表

目录 1.Yolov8介绍 2.野外火灾烟雾数据集介绍 3.CPCA介绍 3.1 CPCA加入到yolov8 4.训练结果分析 5.系列篇 1.Yolov8介绍 Ultralytics YOLOv8是Ultralytics公司开发的YOLO目标检测和图像分割模型的最新版本。YOLOv8是一种尖端的、最先进的&#xff08;SOTA&#xff09;模型&a…

Golang反射相关知识总结

1. Golang反射概述 Go语言的反射&#xff08;reflection&#xff09;是指在运行时动态地获取类型信息和操作对象的能力。在Go语言中&#xff0c;每个值都是一个接口类型&#xff0c;这个接口类型包含了这个值的类型信息和值的数据&#xff0c;因此&#xff0c;通过反射&#x…