ClickHouse 权限控制与资源隔离

使用clickhouse多半应用在实时数仓项目来支持adhoc查询，为了确保企业数据安全高效的使用，那么权限控制与资源隔离是必不可少的

clickhouse在20.4之后的版本开始支持基于RBAC的访问控制管理；主要包括的功能有：用户创建、角色创建、权限管理以及资源隔离；接下来我们将演示如何使用这些功能

配置管理员账户

管理员账户主要用来进行权限分配和管理用的；需要在user.xml中进行如下配置：

  
        ## clickhouse自带default用户，但是该用户拥有所有权限且没有设置登陆密码和开启RBAC
        pwd

        1

        
                ::/0
        

        default

        default

      

• access_management 默认为0，设置为1标识开启RBAC权限控制。
• admin 配置的用户名
• password 用户对应的密码
• networks 运行访问的客户端ip、host
• profile clickhouse角色
• quota 配额，分配给该用户的资源

配置config.xml新增如下配置：

  ## 用来存储创建的用户和角色
/data/work/clickhouse/access/

## 此配置必须有 否则会报
## DB::Exception: Not found a storage to insert user

创建普通用户

普通用户是权限作用的实体，可以设置独立的密码和操作范围，业务人员通过登陆不同的账户来行使不同的数据权限。

• create user

  ## 创建用户u1 并限制ip只能在本地登陆数据库
## 通过明文或加密方式配置密码
## 创建时赋予了除role1、role2外的所有角色
CREATE USER u1 HOST IP '127.0.0.1' IDENTIFIED WITH PLAINTEXT_PASSWORD BY '123' DEFAULT ROLE ALL EXCEPT role1, role2


VM_10_14_centos :) show users;

SHOW USERS

┌─name────┐
│ admin   │
│ default │
│ u1      │
└─────────┘

• alter user

  ## 将用户名u1修改成u2  
ALTER USER u1 RENAME TO u2

• drop user

  DROP USER [IF EXISTS] name [,...] [ON CLUSTER cluster_name]

• show create user
  查看用户创建语句

创建角色

角色是权限的集合，用来定义用户行使权限的范围。
如果表被删除，和这张表关联的权限不会被删除。这意味着如果你创建一张同名的表，所有的特权仍旧有效。如果想删除这张表关联的特权，你可以执行 REVOKE ALL PRIVILEGES ON db.table FROM ALL 查询。

• create role

  CREATE ROLE [IF NOT EXISTS | OR REPLACE] name WRITABLE|READONLY

• alter role

  ## 修改角色名r1为r2
alter role r1 rename to r2

• drop role

  DROP ROLE [IF EXISTS] name [,...] [ON CLUSTER cluster_name]

权限管理

• 授权

  ##将查询权限付给角色role1，然后把角色分配给用户u1

GRANT SELECT(x,y) ON db.* TO role1;

SET ROLE role1, ... TO u1

• 解除授权

  REVOKE SELECT(wage) ON accounts.staff FROM mira;
## or
REVOKE role1 ON accounts.* FROM mira;

• 行级权限

  ## 授权给角色
CREATE ROW POLICY filter ON mydb.mytable FOR SELECT USING a<1000 TO r1, r2

## 授权给用户
CREATE ROW POLICY filter ON mydb.mytable FOR SELECT USING a<1000 TO ALL EXCEPT u1

资源限制

• cpu & memory

  CREATE SETTINGS PROFILE max_memory_usage_profile SETTINGS max_memory_usage = 102400 ,max_threads = 3  TO r1/u1

• 限制单位时间内查询次数

  ## 允许用户u1一天内最大只能发起20次查询
CREATE QUOTA qA FOR INTERVAL 1 DAY MAX QUERIES 20 TO r1/u1

总结

细粒度的权限控制和资源隔离将极大提升大数据人员的开发效率，通过开放数据和工具的方式赋能上层业务，上层业务不用在排队烧香和数据团队对需求了，整个流程得到了极大简化；每一个优秀的工程师都将有机会成为优秀的数据分析师