大数据ClickHouse进阶(二十四):ClickHouse权限管理

2022-11-14 00:44:12 浏览数 (2)

​ClickHouse权限管理

ClickHouse从访问、查询和数据角度提供了一个较为立体的权限体系。

一、​​​​​​​访问权限

访问权限是整个权限体系的第一层防护,可以分为两类权限。

1、网络访问权限

网络权限使用networks标签设置,用户限制某个用户登录的客户端地址,例如,修改users.xml文件:

代码语言:javascript复制
<zhangsan>
	<!-- 设置用户允许登录的网络地址 -->
	<networks>
		<!-- 限制在此ip登录 -->
		<ip>192.168.179.5</ip>
	</networks>
</zhangsan>

修改之后,在node1(192.168.179.4)上登录zhangsan用户登录不上。

代码语言:javascript复制
[root@node1 logs]# ClickHouse-client -u zhangsan --password 123456
ClickHouse client version 21.9.4.35 (official build).
Connecting to localhost:9000 as user zhangsan.
Code: 516. DB::Exception: Received from localhost:9000. DB::Exception: zhangsan: Authentication failed: password is incorrect or there is no user with such name. (AUTHENTICATION_FAILED)

2、数据库与字典访问权限

当客户端连入ClickHouse之后,可以进一步限制某个用户数据库和字典的访问权限,可以通过<allow_database>和<allow_dictionaries>标签进行设置,如果不进行任何定义则表示不进行限制。

现在针对用户zhangsan只能使用default库,在users.xml中的配置如下:

代码语言:javascript复制
<zhangsan>
	<!-- 设置用户访问数据库 -->
	<allow_databases>
		<database>default</database>
		<database>datasets</database>
	</allow_databases>
</zhangsan>

配置完成之后,使用zhangsan用户重新登录ClickHouse,查看数据库:

代码语言:javascript复制
node1 :) show databases;
┌─name─────┐
│ datasets │
│ default  │
└──────────┘

二、​​​​​​​​​​​​​​查询权限

查询权限是整个权限体系的第二层防护,它决定了一个用户能够执行的查询语句,查询权限可以分为以下四类:

  • 读权限:包括SELECT、EXISTS、SHOW和DESCRIBE查询。
  • 写权限:包括INSERT和OPTIMIZE查询。
  • 设置权限:包括SET查询。
  • DDL权限:包括CREATE、DROP、ALTER、RENAME、ATTACH、DETACH和TRUNCATE查询。

上述四类权限,可以通过以下两项配置标签控制:

1、readonly

读权限、写权限和设置权限均由此标签控制,它有三种取值:

  • 当取值为0时,不进行任何限制(默认值)
  • 当取值为1时,只拥有读权限(只能执行SELECT、EXISTS、SHOW和DESCRIBE)
  • 当取值为2时,拥有读权限和设置权限(在读权限基础上,增加了SET查询)

2、allow_ddl

DDL权限由此标签控制,它有两种取值:

  • 当取值为0时,不允许DDL查询。
  • 当取值为1时,允许DDL查询(默认值)。

此外,需要注意的是readonly和allow_ddl需要定义在用户使用的profiles角色中。

查询权限测试如下:

首先,在users.xml中增加新角色normal,并配置只有read读权限,配置如下:

代码语言:javascript复制
<yandex>
	<!-- 配置profiles -->
	<profiles>
        ... ...
        <!-- 自定义角色normal,只有read读权限 -->
        <normal>
             <readonly>1</readonly>             
             <allow_ddl>0</allow_ddl>
        </normal>
		... ...
	</profiles>
	... ...
</yandex>

其次在users.xml中给zhangsan配置角色为normal:

代码语言:javascript复制
<!-- 用户使用的profile 角色 -->
<zhangsan>
... ...
	<profile>normal</profile>
</zhangsan>

配置完成之后,使用用户zhangsan登录ClickHouse,做如下操作:

代码语言:javascript复制
#创建数据库
node1 :) create database aaa;
 DB::Exception: zhangsan: Not enough privileges. To execute this query it's necessary to have grant CREATE DATABASE ON aaa.*. (ACCESS_DENIED)

#查询表person_info中数据
node1 :) select * from person_info;
┌─id─┬─name─┬─age─┬─gender─┬─loc─────┐
│  1 │ zs   │  18 │ m      │ beijing │
│  3 │ ww   │  20 │ m      │ beijing │
└────┴──────┴─────┴────────┴─────────┘
┌─id─┬─name─┬─age─┬─gender─┬─loc──────┐
│  2 │ ls   │  19 │ f      │ shanghai │
│  4 │ ml   │  21 │ m      │ shanghai │
└────┴──────┴─────┴────────┴──────────┘

#向表person_info中插入数据
node1 :) insert into person_info values (5,'xx',10,'f','beijing');
DB::Exception: zhangsan: Cannot execute query in readonly mode. (READONLY)

通过以上测试我们发现权限已经生效。

三、​​​​​​​​​​​​​​数据行级权限

数据权限是整个权限体系中的第三层防护,决定了一个用户能够看到什么数据。数据权限使用database标签定义,是用户定义中的一项选填设置,database通过定义用户级别的查询过滤器来实现数据的行级粒度权限,定义规则如下:

代码语言:javascript复制
<databases>
	<database_name><!-- 数据库名称 -->
		<table_name><!-- 表名称 -->
			<filter>id < 10</filter><!-- 数据过滤条件 -->
		</table_name>
	</database_name>
</databases>

以上标签中database_name是数据库名称,table_name是表名称,而filter则是权限过滤的关键,等同于定义了一条where条件,支持组合条件。

下面测试数据权限,给用户zhangsan限制读取表person_info数据中id<=2 或者id=4的数据,配置users.xml如下:

代码语言:javascript复制
<zhangsan>
	... ...
	<databases>
		<default><!-- 数据库名称 -->
			<person_info><!-- 表名称 -->
				<!-- 过滤条件id <=2 or id =4 -->
				<filter>id&lt;=2 or id=4 </filter> <!-- 数据过滤条件 -->			</person_info>
		</default>
	</databases>
</zhangsan>

注意:

  • < 表示小于号
  • > 表示大于号

以上配置完成之后,使用zhangsan登录ClickHouse查询数据,结果如下:

代码语言:javascript复制
node1 :) select * from person_info;
┌─id─┬─name─┬─age─┬─gender─┬─loc─────┐
│  1 │ zs   │  18 │ m      │ beijing │
└────┴──────┴─────┴────────┴─────────┘
┌─id─┬─name─┬─age─┬─gender─┬─loc──────┐
│  2 │ ls   │  19 │ f      │ shanghai │
│  4 │ ml   │  21 │ m      │ shanghai │
└────┴──────┴─────┴────────┴──────────┘

可见配置的数据行级权限生效。

0 人点赞