ClickHouse學習系列之六【訪問權限和賬戶管理】

背景

      在之前寫的文章【用戶權限管理】里已經介紹了應該如何設置用戶密碼以及權限控制。但是只是針對修改配置文件的方式來進行用戶權限管理，其實ClickHouse也支持基於RBAC（Role-Based Access Control）的訪問控制管理，即通過SQL-driven來進行管理。在 RBAC  中，權限與角色相關聯，通過成為角色的成員而得到這些角色的權限。簡化了權限的管理。這樣管理都是層級相互依賴的，權限賦予給角色，而把角色又賦予用戶，ClickHouse推薦使用該方式進行用戶權限管理。更多的信息可以看：訪問權限和賬戶管理

說明

ClickHouse（version 21.6.3）權限包括：

- 用戶賬戶
- 角色
- 行策略
- 設置描述
- 配額

可以通過如下方式配置權限：

• 通過SQL-driven的工作流方式，需要手動開啟該功能，默認關閉：
  users.xml：
  　　access_management：1 開啟

      <users>
          <default>
              <password>123456</password>
              <networks>
                  <ip>::/0</ip>
              </networks>
              <profile>default</profile>
              <quota>default</quota>
              <access_management>1</access_management>
          </default>
      </users>

• 通過服務端配置文件 users.xml 和 config.xml，像之前的用戶權限管理文章說明的一樣。
  

建議使用SQL-driven工作流的方式。當然配置的方式也可以同時起作用, 可以平滑的配置管理方式切換到SQL-driven的工作流方式。

使用

在介紹用戶權限管理之前，再次了解下用戶權限相關的幾個方面：

• 權限的類型
• 配置組（Profiles）的設置，在users.xml文件中
  
• 限制（constraints）
• 熔斷（quotas）

一 配置文件設置

1. 權限的類型：

ClickHouse中的查詢可以分為幾種類型:

1. 讀: SELECT, SHOW, DESCRIBE, EXISTS.
2. 寫: INSERT, OPTIMIZE.
3. 設置: SET, USE.
4. DDL: CREATE, ALTER, RENAME, ATTACH, DETACH, DROP TRUNCATE.
5. KILL：kill 查詢
   

以下設置按查詢類型規范用戶權限:

• readonly —  限制除 DDL 之外的所有查詢類型的權限
  

      0：允許所有查詢。
      1：僅允許讀取數據查詢。
      2：允許讀取數據和更改設置查詢。
  
  默認值0，設置 readonly=1 后不能執行 readonly 和 allow_ddl 在當前會話中的設置。
  

• allow_ddl — 限制 DDL 的權限
  

      0：不允許 DDL 查詢。
      1：允許 DDL 查詢。
  
  默認值1，設置 allow_ddl=0 后不能執行 SET allow_ddl = 1。

• kill  — 可以使用任何設置執行KILL QUERY

以上的權限通過配置標簽來控制（users.xml）：

<profiles>   --在profiles里設置
        ...
        <normal> --只讀，不能DDL
            <readonly>1</readonly>
            <allow_ddl>0</allow_ddl>
        </normal>

        <normal_1> --讀且能set，不能DDL
            <readonly>2</readonly>
            <allow_ddl>0</allow_ddl>
        </normal_1>

        <normal_2> --只讀，即使DDL允許
            <readonly>1</readonly>
            <allow_ddl>1</allow_ddl>
        </normal_2>

        <normal_3> --讀寫，能DDL
            <readonly>0</readonly>
            <allow_ddl>1</allow_ddl>
        </normal_3>

    </profiles>

...
    <users>
        ...
        <test>
            <password>123456</password>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
            </networks>
            <profile>normal_3</profile> --用戶引用相關profile
            <quota>default</quota>
        </test>
    </users>
...

2. 配置組（Profiles）的設置：users.xml

profile的作用類似於用戶角色，可以在users.xml中定義多組profile，並可以為每組profile定義不同的配置項：讀、寫、DDL權限，以及限制的設置，各個profile可以相互繼承。設置好profile之后，可以在用戶中被使用。

<?xml version="1.0"?>
<yandex>
    <profiles>
        <!--自定義profile，可以任意命名-->
        <default>
            <max_memory_usage>100000000</max_memory_usage>
            <use_uncompressed_cache>0</use_uncompressed_cache>
            <load_balancing>random</load_balancing>
        </default>

        <readonly>
            <readonly>1</readonly>
        </readonly>

        <readwrite>
            <constraints>
                <max_memory_usage>
                    <readonly/>
                </max_memory_usage>
                <force_index_by_date>
                    <readonly/>
                </force_index_by_date>
            </constraints>
        </readwrite>

    </profiles>

...
</yandex>

上面新增profile：readonly 和 readwrite，還可以在命令行里切換profile：

:) set profile = 'readonly';

切換了profile之后，就擁有了該profile下的權限。關於配置profile的修改，可以之前的文章【用戶權限管理】。

3. 限制（constraints）： 

在users.xml配置文件的profile選項組下constraints選項組里定義設置的約束，並禁止用戶使用SET查詢更改某些設置。constraints標簽可以設置一組約束條件，以限制profile內的參數值被隨意修改，約束條件有如下三種規則：

• min：最小值約束，在設置相應參數的時候，取值不能小於該閾值；

• max：最大值約束，在設置相應參數的時候，取值不能大於該閾值；

• readonly：只讀約束，該參數值不允許被修改。

...
    <profiles>
        <default>
            <max_memory_usage>10000000000</max_memory_usage>
            <use_uncompressed_cache>0</use_uncompressed_cache>
            <force_index_by_date>0</force_index_by_date>
            <load_balancing>random</load_balancing>
        </default>
        <test>
            <constraints>
                <max_memory_usage>
                    <min>100000</min>
                    <max>200000</max>
                </max_memory_usage>
                <force_index_by_date>
                    <readonly/>
                </force_index_by_date>
            </constraints>
        </test>
    </profiles>
...

上面對profile為test進行了限制，如果在該profile下試圖違反約束，則會引發異常並且不會更改設置：

:) SET max_memory_usage=2000000;
-- Code: 452. DB::Exception: Received from localhost:9010. DB::Exception: Setting max_memory_usage shouldn't be greater than 200000.

:) SET max_memory_usage=10000;
-- Code: 452. DB::Exception: Received from localhost:9010. DB::Exception: Setting max_memory_usage shouldn't be less than 100000. 

:) SET force_index_by_date=1;
-- Code: 452. DB::Exception: Received from localhost:9010. DB::Exception: Setting force_index_by_date should not be changed. 

關於限制配置的修改，可以看之前的文章【用戶權限管理】。

4. 配額（quotas）

配合，限制使用資源，類似於熔斷。限制有二種類型：一是在固定周期里的執行次數(quotas)，二是限制用戶或則查詢的使用資源（profiles）。在users.xml配置文件的選項組quotas里設置，限制該用戶一段時間內的資源使用，即對一段時間內運行的一組查詢施加限制，而不是限制單個查詢。模板：

    <!-- Quotas. -->
    <quotas>
        <!-- Name of quota. -->
        <default> --指定quotas名
            <!-- Limits for time interval. You could specify many intervals with different limits. -->
            <interval> --時間間隔
                <!-- Length of interval. -->
                <duration>3600</duration> --周期
                <!-- No limits. Just calculate resource usage for time interval. -->
                <queries>0</queries>
                <errors>0</errors>
                <result_rows>0</result_rows>
                <read_rows>0</read_rows>
                <execution_time>0</execution_time>
            </interval>
        </default>
    </quotas>

默認情況下，配額僅跟蹤每小時的資源消耗，而沒有限制使用情況。在每個請求之后，將為每個時間間隔計算的資源消耗輸出到服務器日志。

說明：

• <default>：配額規則名。
• <interval>：配置時間間隔，每個時間內的資源消耗限制。
• <duration>：時間周期，單位秒。
• <queries>：時間周期內允許的請求總數，0表示不限制。
• <errors>：時間周期內允許的異常總數，0表示不限制。
• <result_rows>：時間周期內允許返回的行數，0表示不限制。
• <read_rows>：時間周期內允許在分布式查詢中，遠端節點讀取的數據行數，0表示不限制。
• <execution_time>：時間周期內允許執行的查詢時間，單位是秒，0表示不限制。

關於配額熔斷的配置，可以看之前的文章【用戶權限管理】。

5. 用戶設置

在users.xml配置文件中的users選項組是配置自定義的用戶，定義一個新用戶，必須包含以下幾項屬性：用戶名、密碼、訪問ip、數據庫、表等等。它還可以應用上面的profile、constraints、quota。如：

    <users>
        <default>
            <password>123456</password>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
            </networks>
            <profile>default</profile>
            <quota>default</quota>
        </default>

        <zhoujy>
            <password_double_sha1_hex>6bb4837eb74329105ee4568dda7dc67ed2ca2ad9</password_double_sha1_hex>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
            </networks>
            <profile>default</profile>
            <quota>default</quota>
            <allow_databases>
                <database>test</database>
            </allow_databases>
            <databases>
                <test>  
                    <xx>
                        <filter>id >= 500 </filter>  --行級限制
                    </xx>
                </test>
            </databases>
        </zhoujy>

    </users>

• <profile>：指定用戶的profile
• <quota>：指定用戶的quota，限制用戶使用資源
• <database_name>：指定用戶訪問的數據庫
• <table_name>：指定用戶訪問的表
• <filter>：指定用戶訪問的過濾器，限制返回符合條件的行。如：id = 1 ，即查詢表只返回id=1的行

該示例指定了兩個用戶：

default：指定了密碼、訪問IP、profile、quota。
zhoujy ：指定了密碼、訪問IP、profile、quota，以及它只能使用test庫，並且只能返回test庫xx表id大於等於500的數據。

通過以上的設置，已經把用戶權限的知識點大部分都已經介紹完了，包括了讀寫權限、權限的限制和要把這些“規則”應用到用戶上，這樣就完成了用戶權限的定制了。

以上所有介紹的知識點都可以看之前的文章【用戶權限管理】，該文章中都做了詳細的說明。通過修改配置文件雖然能實現ACL，但是比較麻煩，不便於維護管理。所以推薦使用SQL方式進行配置。本文的重點是介紹通過SQL-driven來進行管理用戶權限。

二 SQL設置

啟用SQL-driven管理需要開啟users.xml文件中users的參數：

<access_management>1</access_management>

通過SQL-driven設置創建的用戶，都存儲在access目錄中，該目錄的位置是由參數 local_directory 控制：

        <local_directory>
            <!-- Path to folder where users created by SQL commands are stored. -->
            <!-- <path>/var/lib/clickhouse/access/</path> -->
            <path>/ccdata/clickhouse/access/</path>
        </local_directory>

1. 創建用戶（Create User） 

CREATE USER 

　　 [IF NOT EXISTS | OR REPLACE] name1 [ON CLUSTER cluster_name1] [, name2 [ON CLUSTER cluster_name2] ...]
    [NOT IDENTIFIED | IDENTIFIED {[WITH {no_password | plaintext_password | sha256_password | sha256_hash | double_sha1_password | double_sha1_hash}] BY {'password' | 'hash'}} | {WITH ldap SERVER 'server_name'} | {WITH kerberos [REALM 'realm']}]
    [HOST {LOCAL | NAME 'name' | REGEXP 'name_regexp' | IP 'address' | LIKE 'pattern'} [,...] | ANY | NONE]
    [DEFAULT ROLE role [,...]]
    [GRANTEES {user | role | ANY | NONE} [,...] [EXCEPT {user | role} [,...]]]
    [SETTINGS variable [= value] [MIN [=] min_value] [MAX [=] max_value] [READONLY | WRITABLE] | PROFILE 'profile_name'] [,...]

ON CLUSTER 子句允許在集群上創建用戶。

① 用戶認證：密碼，用戶連接密碼。

• IDENTIFIED WITH no_password   -- 沒有密碼
• IDENTIFIED WITH plaintext_password BY 'qwerty'   -- 明文密碼
• IDENTIFIED WITH sha256_password BY 'qwerty' or IDENTIFIED BY 'password'  -- sha256_password 加密密碼
• IDENTIFIED WITH sha256_hash BY 'hash'  -- sha256_hash 加密密碼
• IDENTIFIED WITH double_sha1_password BY 'qwerty'  -- double_sha1_password 加密密碼
• IDENTIFIED WITH double_sha1_hash BY 'hash'  -- double_sha1_hash 加密密碼
• IDENTIFIED WITH ldap SERVER 'server_name'

• IDENTIFIED WITH kerberos or IDENTIFIED WITH kerberos REALM 'realm'

② 用戶主機：主機，用戶連接地址。

• HOST IP 'ip_address_or_subnetwork' —  用戶通過指定IP連接。
• HOST ANY — 可以從任何位置連接，默認。
• HOST LOCAL — 只能在本地連接。
• HOST NAME 'fqdn' — 用戶主機可以指定為域名。
• HOST NAME REGEXP 'regexp' — 主機使用正則表達式。
• HOST LIKE 'template' — 使用 LIKE 運算符來過濾用戶主機。 如HOST LIKE '%' 等價於 HOST ANY，HOST LIKE '%.mysite.com' 過濾 mysite.com 域中的所有主機。

指定主機的另一種方法是在用戶名后使用@：

• CREATE USER mira@'127.0.0.1' — 等效於 HOST IP 語法
• CREATE USER mira@'localhost' — 等效於 HOST LOCAL 語法
• CREATE USER mira@'192.168.%.%' — 等效於 HOST LIKE 語法

③  授權權限

通過GRANTEES來授權用戶或則角色，可以獲得創建該用戶的權限。

• user — 指定可以授予權限的用戶
• role — 指定可以授予權限的角色
• ANY — 可以向任何人授予權限
• NONE — 可以向 none 授予權限

④：例子

1. 創建密碼為123456的用戶cc，只能本機登錄：
   

   :) create user cc host ip '127.0.0.1' identified with sha256_password by '123456';

2. 創建用戶帳戶cao，為其分配角色並將此角色設為默認：
   

   :) CREATE USER cao DEFAULT ROLE role1, role2;

3. 創建用戶帳戶 john 並將他未來的所有角色設為默認：
   

   :) CREATE USER john DEFAULT ROLE ALL;

   當將來某個角色分配給 john 時，它將自動變為默認值。

4. 創建用戶帳戶 john 並將他未來的所有角色設為默認，除了 role1 和 role2：
   

   :) CREATE USER john DEFAULT ROLE ALL EXCEPT role1, role2;

5. 創建用戶帳戶 john 並允許將權限授給具有 jack 帳戶的用戶：
   

   :) CREATE USER john GRANTEES jack;

   ----  DB::Exception: user `john`: cannot insert because user `john` already exists in local directory: Couldn't insert user `john`. Successfully inserted: none. 

2. 創建角色（Create Role） 

創建角色，角色是一組權限。分配了角色的用戶獲得該角色的所有權限。

CREATE ROLE [IF NOT EXISTS | OR REPLACE] name1 [, name2 ...]
    [SETTINGS variable [= value] [MIN [=] min_value] [MAX [=] max_value] [READONLY|WRITABLE] | PROFILE 'profile_name'] [,...]

一個用戶可以分配多個角色。通過 SET ROLE 分配的角色。權限的范圍是所有應用角色權限的組合集合。用戶可以擁有適用於用戶登錄的默認角色，要設置默認角色，使用 SET DEFAULT ROLE 或 ALTER USER 語句。使用 REVOKE 來撤銷角色，使用 DROP ROLE 來刪除角色。

①：創建角色

:) CREATE ROLE zjy;

②：給角色授權

:) GRANT SELECT ON dbtest.* TO zjy;

③：將角色分配給用戶

 :) GRANT zjy TO cc;

④：執行角色擁有的權限

:) SET ROLE zjy;

:) SELECT * FROM testdb.*;

3. 創建行策略（Create ROW POLICY） 

創建行策略，即用於確定用戶可以從表中讀取哪些行的過濾器。注意：行策略僅對具有只讀訪問權限的用戶有意義。

CREATE [ROW] POLICY [IF NOT EXISTS | OR REPLACE] policy_name1 [ON CLUSTER cluster_name1] ON [db1.]table1 
        [, policy_name2 [ON CLUSTER cluster_name2] ON [db2.]table2 ...] 
    [FOR SELECT] USING condition [AS {PERMISSIVE | RESTRICTIVE}]
    [TO {role1 [, role2 ...] | ALL | ALL EXCEPT role1 [, role2 ...]}]

• USING：指定過濾行的條件。 如果該行的條件計算為非零，則用戶將看到該行。
• TO：應用到適用的用戶和角色。
  如果沒有為表定義行策略，則任何用戶都可以從表中選擇所有行。為表定義一個或多個行策略，無論是否為當前用戶定義了這些行策略，都可以根據行策略訪問表。例如：
  

  :) CREATE ROW POLICY pol1 ON mydb.table1 USING b=1 TO mira, peter;

  禁止用戶 mira 和 peter 查看 b != 1 的行，任何未提及的用戶（例如，用戶 paul）根本看不到 mydb.table1 中的行。
  

  CREATE ROW POLICY pol2 ON mydb.table1 USING 1 TO ALL EXCEPT mira, peter

  禁止用戶 mira 和 peter 查看表數據。

• AS：允許同時為同一用戶在同一張表上啟用多個策略。所以需要一種方法來組合來自多個策略的條件。
  

  :) CREATE ROW POLICY pol1 ON mydb.table1 USING b=1 TO mira, peter;
  
  :) CREATE ROW POLICY pol2 ON mydb.table1 USING c=2 AS RESTRICTIVE TO peter, antonio;

  當 b=1 和 c=2 時，用戶 peter 才能看到行 

eg：

:) CREATE ROW POLICY filter1 ON mydb.mytable USING a<1000 TO accountant, john@localhost;

:) CREATE ROW POLICY filter2 ON mydb.mytable USING a<1000 AND b=5 TO ALL EXCEPT mira;

:) CREATE ROW POLICY filter3 ON mydb.mytable USING 1 TO admin;

4. 創建熔斷配額策略（CREATE QUOTA） 

創建可以分配給用戶或角色的配額熔斷策略。

CREATE QUOTA [IF NOT EXISTS | OR REPLACE] name [ON CLUSTER cluster_name]
    [KEYED BY {user_name | ip_address | client_key | client_key,user_name | client_key,ip_address} | NOT KEYED]
    [FOR [RANDOMIZED] INTERVAL number {second | minute | hour | day | week | month | quarter | year}
        {MAX { {queries | query_selects | query_inserts | errors | result_rows | result_bytes | read_rows | read_bytes | execution_time} = number } [,...] |
         NO LIMITS | TRACKING ONLY} [,...]]
    [TO {role [,...] | ALL | ALL EXCEPT role [,...]}]

關鍵字：user_name、ip_address、client_key、client_key、user_name和client_key、ip_address對應system.quotas表中的字段。

關鍵字：querys、query_selects、query_inserts、errors、result_rows、result_bytes、read_rows、read_bytes、execution_time對應system.quotas_usage表中的字段。

①：將當前用戶的最大查詢數限制為 15 個月內123 次：

CREATE QUOTA qA FOR INTERVAL 15 month MAX queries = 123 TO CURRENT_USER;

②：對於默認用戶，在30分鍾之內限制最大執行時間為半秒，將最大查詢數限制為 321，將最大錯誤數限制為 10 ：

CREATE QUOTA qB FOR INTERVAL 30 minute MAX execution_time = 0.5, FOR INTERVAL 5 quarter MAX queries = 321, errors = 10 TO default;

在用戶、角色和訪問策略建立好之后，后面就需要授權了。

5. 創建配置組策略（CREATE SETTINGS PROFILE）

創建可分配給用戶或角色的設置配置文件

CREATE SETTINGS PROFILE [IF NOT EXISTS | OR REPLACE] TO name1 [ON CLUSTER cluster_name1] 
        [, name2 [ON CLUSTER cluster_name2] ...]
    [SETTINGS variable [= value] [MIN [=] min_value] [MAX [=] max_value] [READONLY|WRITABLE] | INHERIT 'profile_name'] [,...]

eg：

CREATE SETTINGS PROFILE max_memory_usage_profile SETTINGS max_memory_usage = 100000001 MIN 90000000 MAX 110000000 TO robin

使用 max_memory_usage 設置的值和約束創建 max_memory_usage_profile 設置配置文件，並將其分配給用戶 robin：

6. 權限：權限是指執行特定操作的許可

權限有層級結構，一組允許的操作依賴相應的權限范圍。 

級別（由低到高）：

• COLUMN - 可以授權到列，表，庫或者全局
• TABLE - 可以授權到表，庫，或全局
• VIEW - 可以授權到視圖，庫，或全局
• DICTIONARY - 可以授權到字典，庫，或全局
• DATABASE - 可以授權到數據庫或全局
• GLABLE - 可以授權到全局
• GROUP - 不同級別的權限分組。當授予 GROUP級別的權限時， 根據所用的語法，只有對應分組中的權限才會被分配。

權限的層級：

• SELECT
  

  允許執行 SELECT 查詢，權限級別: COLUMN。


  :) GRANT SELECT(x,y) ON db.table TO john;

  該權限允許 john 對 db.table表的列x,y執行SELECT查詢。
  

  :) GRANT SELECT ON db.table TO john;

  該權限允許 john 對 db.table表的所有列執行SELECT查詢。

• INSERT
  

  允許執行 INSERT 操作，權限級別: COLUMN。


  :) GRANT INSERT(x,y) ON db.table TO john;

  該權限允許 john 對 db.table表的列x,y執行數據插入操作

  :) GRANT INSERT ON db.table TO john;

  該權限允許 john 對 db.table表的所有列執行數據插入操作

• ALTER
  允許執行ALTER操作
  
  • ALTER TABLE. 級別: GROUP
    • ALTER UPDATE. 級別: COLUMN. 別名: UPDATE


      :) alter table ttt update address = 'TTTT' where id = 1;

    • ALTER DELETE. 級別: COLUMN. 別名: DELETE


      :) alter table ttt delete where id = 6;

    • ALTER COLUMN. 級別: GROUP
      • ALTER ADD COLUMN. 級別: COLUMN. 別名: ADD COLUMN


        :) alter table ttt add column col1 String;

      • ALTER DROP COLUMN. 級別: COLUMN. 別名: DROP COLUMN


        :) alter table ttt drop column col1;

      • ALTER MODIFY COLUMN. 級別: COLUMN. 別名: MODIFY COLUMN


        :) alter table ttt modify column col1 UInt16;

      • ALTER COMMENT COLUMN. 級別: COLUMN. 別名: COMMENT COLUMN


        :) alter table ttt comment column col1 'xxxx';

      • ALTER CLEAR COLUMN. 級別: COLUMN. 別名: CLEAR COLUMN


        :) alter table ttt clear column col1;

      • ALTER RENAME COLUMN. 級別: COLUMN. 別名: RENAME COLUMN


        :) alter table ttt rename column col1 to col2;

    • ALTER INDEX. 級別: GROUP. 別名: INDEX
      • ALTER ORDER BY. 級別: TABLE. 別名: ALTER MODIFY ORDER BY, MODIFY ORDER BY


        :) alter table ttt modify order by name;

      • ALTER ADD INDEX. 級別: TABLE. 別名: ADD INDEX


        :) alter table ttt add index idx_name(name) type minmax granularity 5;

      • ALTER DROP INDEX. 級別: TABLE. 別名: DROP INDEX


        :) alter table ttt drop index idx_name;

      • ALTER MATERIALIZE INDEX. 級別: TABLE. 別名: MATERIALIZE INDEX

      • ALTER CLEAR INDEX. 級別: TABLE. 別名: CLEAR INDEX
    • ALTER CONSTRAINT. 級別: GROUP. 別名: CONSTRAINTALTER TTL. 級別: TABLE. 別名: ALTER MODIFY TTL, MODIFY TTL
      • ALTER ADD CONSTRAINT. 級別: TABLE. 別名: ADD CONSTRAINT

      • ALTER DROP CONSTRAINT. 級別: TABLE. 別名: DROP CONSTRAINT
    • ALTER MATERIALIZE TTL. 級別: TABLE. 別名: MATERIALIZE TTL
    • ALTER SETTINGS. 級別: TABLE. 別名: ALTER SETTING, ALTER MODIFY SETTING, MODIFY SETTING
    • ALTER MOVE PARTITION. 級別: TABLE. 別名: ALTER MOVE PART, MOVE PARTITION, MOVE PART
    • ALTER FETCH PARTITION. 級別: TABLE. 別名: FETCH PARTITION
    • ALTER FREEZE PARTITION. 級別: TABLE. 別名: FREEZE PARTITION
  • ALTER VIEW 級別: GROUP
    • ALTER VIEW REFRESH. 級別: VIEW. 別名: ALTER LIVE VIEW REFRESH, REFRESH VIEW
    • ALTER VIEW MODIFY QUERY. 級別: VIEW. 別名: ALTER TABLE MODIFY QUERY

  ALTER 權限包含所有其它 ALTER * 的權限：
  

  :) GRANT ALTER  ON testdb.ttt TO zjy;

  該權限允許 zjy 對 testdb.ttt表執行數據matution操作，權限包括上面列出來的各個操作：DELETE、UPDATE、ADD/DROP COLUMN/INDEX、MODIFY、TTL等等。
  關於 ALTER 更多語法可以看手冊。

• CREATE
  允許執行 CREATE 和 ATTACH 的權限
  
  • CREATE. 級別: GROUP
    • CREATE DATABASE. 級別: DATABASE
    • CREATE TABLE. 級別: TABLE
    • CREATE VIEW. 級別: VIEW
    • CREATE DICTIONARY. 級別: DICTIONARY
    • CREATE TEMPORARY TABLE. 級別: GLOBAL

  CREATE 權限包含所有其它 CREATE * 的權限：
  

  :) GRANT CREATE ON *.* TO zjy;

  該權限允許用戶zjy建庫、建表、建視圖、字典、臨時表等。

• DROP
  

  允許執行 DROP 和 DETACH 權限:

  • DROP. 級別:
    • DROP DATABASE. 級別: DATABASE
    • DROP TABLE. 級別: TABLE
    • DROP VIEW. 級別: VIEW
    • DROP DICTIONARY. 級別: DICTIONARY

  :) GRANT DROP ON *.* TO zjy;

  該權限允許用戶zjy刪庫、刪表、刪視圖、刪字典等。

• TRUNCATE


  允許執行 TRUNCATE 權限，權限級別: TABLE.
  

  :) GRANT TRUNCATE ON *.* TO zjy;

  該權限允許用戶zjy清空表。

• OPTIMIZE

  允許執行 OPTIMIZE TABLE 權限，權限級別: TABLE.
  

  :) GRANT OPTIMIZE ON *.* TO zjy;

  該權限允許用戶zjy optimize 表。

• SHOW
  

  允許根據下面的權限層級來執行 SHOW, DESCRIBE, USE, 和 EXISTS :

  • SHOW. 級別: GROUP
    • SHOW DATABASES. 級別: DATABASE. 允許執行 SHOW DATABASES, SHOW CREATE DATABASE, USE <database> .
    • SHOW TABLES. 級別: TABLE. 允許執行 SHOW TABLES, EXISTS <table>, CHECK <table> .
    • SHOW COLUMNS. 級別: COLUMN. 允許執行 SHOW CREATE TABLE, DESCRIBE .
    • SHOW DICTIONARIES. 級別: DICTIONARY. 允許執行 SHOW DICTIONARIES, SHOW CREATE DICTIONARY, EXISTS <dictionary> .

  :) GRANT SHOW ON *.* TO zjy;

  該權限允許用戶zjy 執行show相關權限，show users 權限需要單獨定義。注意：當用戶對指定表，字典或數據庫有其它的權限時，同時會授予SHOW權限。

• KILL QUERY
  

  允許根據下面的權限層級來執行 KILL，權限級別: GLOBAL。


  :) GRANT KILL QUERY ON *.* TO zjy;

  該權限允許用戶zjy 執行 kill query 相關權限。

• ACCESS MANAGEMENT
  允許執行管理用戶/角色和行規則的操作
  
  • ACCESS MANAGEMENT. 級別: GROUP
  • CREATE USER. 級別: GLOBAL

  • ALTER USER. 級別: GLOBAL
  • DROP USER. 級別: GLOBAL
  • CREATE ROLE. 級別: GLOBAL
  • ALTER ROLE. 級別: GLOBAL
  • DROP ROLE. 級別: GLOBAL
  • ROLE ADMIN. 級別: GLOBAL
  • CREATE ROW POLICY. 級別: GLOBAL. 別名: CREATE POLICY
  • ALTER ROW POLICY. 級別: GLOBAL. 別名: ALTER POLICY
  • DROP ROW POLICY. 級別: GLOBAL. 別名: DROP POLICY
  • CREATE QUOTA. 級別: GLOBAL
  • ALTER QUOTA. 級別: GLOBAL
  • DROP QUOTA. 級別: GLOBAL
  • CREATE SETTINGS PROFILE. 級別: GLOBAL. 別名: CREATE PROFILE
  • ALTER SETTINGS PROFILE. 級別: GLOBAL. 別名: ALTER PROFILE
  • DROP SETTINGS PROFILE. 級別: GLOBAL. 別名: DROP PROFILE
  • SHOW ACCESS. 級別: GROUP
  • SHOW_USERS. 級別: GLOBAL. 別名: SHOW CREATE USER
  • SHOW_ROLES. 級別: GLOBAL. 別名: SHOW CREATE ROLE
  • SHOW_ROW_POLICIES. 級別: GLOBAL. 別名: SHOW POLICIES, SHOW CREATE ROW POLICY, SHOW CREATE POLICY
  • SHOW_QUOTAS. 級別: GLOBAL. 別名: SHOW CREATE QUOTA
  • SHOW_SETTINGS_PROFILES. 級別: GLOBAL. 別名: SHOW PROFILES, SHOW CREATE SETTINGS PROFILE, SHOW CREATE PROFILE


  :) grant ACCESS MANAGEMENT on *.* to zjy;

  該權限允許用戶zjy管理用戶權限，包括：創建/刪除/修改 用戶、角色、行規則、熔斷規則、SETTING、SHOW 用戶相關等等。

• SYSTEM
  允許根據下面的權限層級來執行 SYSTEM，改權限包含服務的關閉、刷寫、重載等。
  
  • SYSTEM. 級別: GROUP
    • SYSTEM SHUTDOWN. 級別: GLOBAL. 別名: SYSTEM KILL, SHUTDOWN
    • SYSTEM DROP CACHE. 別名: DROP CACHE
      • SYSTEM DROP DNS CACHE. 級別: GLOBAL. 別名: SYSTEM DROP DNS, DROP DNS CACHE, DROP DNS
      • SYSTEM DROP MARK CACHE. 級別: GLOBAL. 別名: SYSTEM DROP MARK, DROP MARK CACHE, DROP MARKS
      • SYSTEM DROP UNCOMPRESSED CACHE. 級別: GLOBAL. 別名: SYSTEM DROP UNCOMPRESSED, DROP UNCOMPRESSED CACHE, DROP UNCOMPRESSED
    • SYSTEM RELOAD. 級別: GROUP
      • SYSTEM RELOAD CONFIG. 級別: GLOBAL. 別名: RELOAD CONFIG
      • SYSTEM RELOAD DICTIONARY. 級別: GLOBAL. 別名: SYSTEM RELOAD DICTIONARIES, RELOAD DICTIONARY, RELOAD DICTIONARIES
      • SYSTEM RELOAD EMBEDDED DICTIONARIES. 級別: GLOBAL. 別名: RELOAD EMBEDDED DICTIONARIES
    • SYSTEM MERGES. 級別: TABLE. 別名: SYSTEM STOP MERGES, SYSTEM START MERGES, STOP MERGES, START MERGES
    • SYSTEM TTL MERGES. 級別: TABLE. 別名: SYSTEM STOP TTL MERGES, SYSTEM START TTL MERGES, STOP TTL MERGES, START TTL MERGES
    • SYSTEM FETCHES. 級別: TABLE. 別名: SYSTEM STOP FETCHES, SYSTEM START FETCHES, STOP FETCHES, START FETCHES
    • SYSTEM MOVES. 級別: TABLE. 別名: SYSTEM STOP MOVES, SYSTEM START MOVES, STOP MOVES, START MOVES
    • SYSTEM SENDS. 級別: GROUP. 別名: SYSTEM STOP SENDS, SYSTEM START SENDS, STOP SENDS, START SENDS
      • SYSTEM DISTRIBUTED SENDS. 級別: TABLE. 別名: SYSTEM STOP DISTRIBUTED SENDS, SYSTEM START DISTRIBUTED SENDS, STOP DISTRIBUTED SENDS, START DISTRIBUTED SENDS
      • SYSTEM REPLICATED SENDS. 級別: TABLE. 別名: SYSTEM STOP REPLICATED SENDS, SYSTEM START REPLICATED SENDS, STOP REPLICATED SENDS, START REPLICATED SENDS
    • SYSTEM REPLICATION QUEUES. 級別: TABLE. 別名: SYSTEM STOP REPLICATION QUEUES, SYSTEM START REPLICATION QUEUES, STOP REPLICATION QUEUES, START REPLICATION QUEUES
    • SYSTEM SYNC REPLICA. 級別: TABLE. 別名: SYNC REPLICA
    • SYSTEM RESTART REPLICA. 級別: TABLE. 別名: RESTART REPLICA
    • SYSTEM FLUSH. 級別: GROUP
      • SYSTEM FLUSH DISTRIBUTED. 級別: TABLE. 別名: FLUSH DISTRIBUTED
      • SYSTEM FLUSH LOGS. 級別: GLOBAL. 別名: FLUSH LOGS

  :) grant SYSTEM  on *.* to zjy;

  該權限允許用戶zjy執行SYSTEM相關操作。

• INTROSPECTION
  
• SOURCES
  

  允許在 table engines 和 table functions中使用外部數據源。
  

  • SOURCES. 級別: GROUP
    • FILE. 級別: GLOBAL
    • URL. 級別: GLOBAL
    • REMOTE. 級別: GLOBAL
    • YSQL. 級別: GLOBAL
    • ODBC. 級別: GLOBAL
    • JDBC. 級別: GLOBAL
    • HDFS. 級別: GLOBAL
    • S3. 級別: GLOBAL

  :) grant sources  on *.* to zjy; 

  該權限允許用戶zjy執行sources相關操作。

• dictGet：別名: dictHas, dictGetHierarchy, dictIsIn，權限級別: DICTIONARY


  :) grant dictGet  on *.* to zjy;

  允許用戶執行 dictGet, dictHas, dictGetHierarchy, dictIsIn 等函數

• ALL
  

  給用戶或角色授予所有權限
  

  :) grant ALL  on *.* to zjy;

• NONE
  不授予任何權限，類似於MySQL的USAGE。
  

  :) grant NONE  on *.* to zjy;

• ADMIN OPTION
  

  :) grant xxx to zjy with admin option;

  允許用戶將他們的角色分配給其它用戶：把角色xxx分配給zjy，之后zjy用戶也可以分配xxx角色。

• GRANT OPTION
  

  :) grant all on *.* to zjy with grant option;

  授予 zjy 可以執行 GRANT 操作的權限，可將自身的權限對其他對象進行授權。

7. 授權（Grants privileges）

• 給ClickHouse的用戶或角色賦予權限
• 將角色分配給用戶或其他角色

取消權限，使用 REVOKE 語句，查看已授的權限使用 SHOW GRANTS 。

GRANT [ON CLUSTER cluster_name] privilege[(column_name [,...])] [,...] ON {db.table|db.*|*.*|table|*} TO {user | role | CURRENT_USER} [,...] [WITH GRANT OPTION]

• privilege — 權限類型
• role — 角色
• user — 用戶

WITH GRANT OPTION 授予 user 或 role執行 GRANT 操作的權限，之后該用戶可將自身的權限對其他對象進行授權。

GRANT [ON CLUSTER cluster_name] role [,...] TO {user | another_role | CURRENT_USER} [,...] [WITH ADMIN OPTION]

• role — 角色
• user — 用戶

WITH ADMIN OPTION 子句向用戶或角色授予 ADMIN OPTION 特權。

使用 GRANT 賬號必須有 GRANT OPTION的權限。用戶只能將在自身權限范圍內的權限進行授權。如：管理員有權通過下面的語句給 john賬號添加授權

GRANT SELECT(x,y) ON db.table TO john WITH GRANT OPTION

john 有權執行 GRANT OPTION，他能給其它賬號進行和自己賬號權限范圍相同的授權。可以使用* 號代替表或庫名進行授權操作。同樣，可以忽略庫名，權限將指向當前的數據庫。

可以一次給多個賬號進行多種授權操作：

 GRANT SELECT,INSERT ON *.* TO john,robin;

允許 john和robin 賬號對任意數據庫的任意表執行 INSERT和 SELECT操作。訪問 systen數據庫總是被允許的。

8. 撤權（revoke privileges）

• 取消用戶的權限
  

  REVOKE [ON CLUSTER cluster_name] privilege[(column_name [,...])] [,...] ON {db.table|db.*|*.*|table|*} FROM {user | CURRENT_USER} [,...] | ALL | ALL EXCEPT {user | CURRENT_USER} [,...]

  eg：

  :) revoke alter on *.* from zjy;

  說明：移除用戶zjy 的alter權限。
  

  :) GRANT SELECT ON accounts.staff TO mira;
  :) REVOKE SELECT(wage) ON accounts.staff FROM mira;

  說明：授權 mira賬號能查詢 accounts.staff表的所有列，除了 wage這一列。

• 取消用戶的角色
  

  REVOKE [ON CLUSTER cluster_name] [ADMIN OPTION FOR] role [,...] FROM {user | role | CURRENT_USER} [,...] | ALL | ALL EXCEPT {user_name | role_name | CURRENT_USER} [,...]

  eg：
  

  :) revoke xxx from zjy;

  移除用戶zjy上角色xxx的權限。

9. 修改權限（ALTER）

• ALTER USER：修改用戶
  

  ALTER USER [IF EXISTS] name1 [ON CLUSTER cluster_name1] [RENAME TO new_name1] 
          [, name2 [ON CLUSTER cluster_name2] [RENAME TO new_name2] ...]
      [NOT IDENTIFIED | IDENTIFIED {[WITH {no_password | plaintext_password | sha256_password | sha256_hash | double_sha1_password | double_sha1_hash}] BY {'password' | 'hash'}} | {WITH ldap SERVER 'server_name'} | {WITH kerberos [REALM 'realm']}]
      [[ADD | DROP] HOST {LOCAL | NAME 'name' | REGEXP 'name_regexp' | IP 'address' | LIKE 'pattern'} [,...] | ANY | NONE]
      [DEFAULT ROLE role [,...] | ALL | ALL EXCEPT role [,...] ]
      [GRANTEES {user | role | ANY | NONE} [,...] [EXCEPT {user | role} [,...]]]
      [SETTINGS variable [= value] [MIN [=] min_value] [MAX [=] max_value] [READONLY | WRITABLE] | PROFILE 'profile_name'] [,...]

  eg: 

  -- 改用名
  :) alter user zjy rename  to zjj;
  
  -- 改密碼
  :) alter user zjj IDENTIFIED with PLAINTEXT_PASSWORD by '123123';
  
  -- 新增白名單
  :) alter user zjj add host ip '10.2.2.2';
  
  -- 設置角色：
  :) alter user zjj default role all;
  
  -- 修改角色限制/profile
  :) alter user zjj SETTINGS PROFILE 'test';

• ALTER ROLE：修改角色
  

  ALTER ROLE [IF EXISTS] name [ON CLUSTER cluster_name]
      [RENAME TO new_name]
      [SETTINGS variable [= value] [MIN [=] min_value] [MAX [=] max_value] [READONLY|WRITABLE] | PROFILE 'profile_name'] [,...]

  eg:
  

  -- 修改角色名
  :) alter role xyz rename to yyy;
  
  -- 修改角色限制/profile
  :) alter role yyy SETTINGS PROFILE 'test';

• ALTER ROW POLICY：修改行策略
  

  ALTER [ROW] POLICY [IF EXISTS] name [ON CLUSTER cluster_name] ON [database.]table
      [RENAME TO new_name]
      [AS {PERMISSIVE | RESTRICTIVE}]
      [FOR SELECT]
      [USING {condition | NONE}][,...]
      [TO {role [,...] | ALL | ALL EXCEPT role [,...]}]

  eg：
  

  -- 改名
  :) alter row policy pol1 on testdb.ttt rename to pol2;
  
  -- 修改
  :) alter row policy pol1 on testdb.ttt using id = 2;

• ALTER QUOTA：修改配額熔斷規則
  

  ALTER QUOTA [IF EXISTS] name [ON CLUSTER cluster_name]
      [RENAME TO new_name]
      [KEYED BY {'none' | 'user name' | 'ip address' | 'client key' | 'client key or user name' | 'client key or ip address'}]
      [FOR [RANDOMIZED] INTERVAL number {SECOND | MINUTE | HOUR | DAY | WEEK | MONTH | QUARTER | YEAR}
          {MAX { {QUERIES | ERRORS | RESULT ROWS | RESULT BYTES | READ ROWS | READ BYTES | EXECUTION TIME} = number } [,...] |
          NO LIMITS | TRACKING ONLY} [,...]]
      [TO {role [,...] | ALL | ALL EXCEPT role [,...]}]

  eg：

  -- 改名
  :) alter QUOTA qB rename to qq;
  
  -- 修改
  :) alter QUOTA qq FOR INTERVAL 30 minute MAX execution_time = 1, FOR INTERVAL 3 quarter MAX queries = 4321, errors = 100 TO zjj;

• ALTER SETTINGS PROFILE：修改settings配置
  

  ALTER SETTINGS PROFILE [IF EXISTS] name [ON CLUSTER cluster_name]
      [RENAME TO new_name]
      [SETTINGS variable [= value] [MIN [=] min_value] [MAX [=] max_value] [READONLY|WRITABLE] | INHERIT 'profile_name'] [,...]

  eg：

  -- 改名
  :) ALTER SETTINGS PROFILE max_memory_usage_profile123 rename to max_memory_usage_profile;
  
  -- 修改
   :) ALTER SETTINGS PROFILE max_memory_usage_profile SETTINGS max_memory_usage = 100000002 MIN 90000001 MAX 110000001;

10. 刪除（drop）

•  DROP USER：刪除用戶
  

  :) DROP USER [IF EXISTS] name [,...] [ON CLUSTER cluster_name];

• DROP ROLE：刪除角色，刪除的角色將從分配給它的所有實體中撤銷。
  

  :) DROP ROLE [IF EXISTS] name [,...] [ON CLUSTER cluster_name];

• DROP ROW POLICY：刪除行策略，刪除的行策略從分配給它的所有實體中撤銷。
  

  :) DROP [ROW] POLICY [IF EXISTS] name [,...] ON [database.]table [,...] [ON CLUSTER cluster_name];

• DROP QUOTA：刪除配額熔斷。 刪除的配額熔斷將從分配到它的所有實體中撤銷。
  

  :) DROP QUOTA [IF EXISTS] name [,...] [ON CLUSTER cluster_name];

• DROP SETTINGS PROFILE：刪除profile文件。 已刪除的文件將從分配給它的所有實體中撤銷。
  

  :) DROP [SETTINGS] PROFILE [IF EXISTS] name [,...] [ON CLUSTER cluster_name];

11. 查看權限（show）

• SHOW GRANTS：顯示用戶的權限
  

  :) SHOW GRANTS [FOR user]

• SHOW CREATE USER：顯示創建用戶時用到的參數
  

  :) SHOW CREATE USER [name | CURRENT_USER]

• SHOW CREATE ROLE：顯示創建角色時用到的參數
  

  :) SHOW CREATE ROLE name;

• SHOW CREATE ROW POLICY：顯示創建行策略時用到的參數
  

  :) SHOW CREATE [ROW] POLICY name ON [database.]table;

• SHOW CREATE QUOTA：顯示創建時配額熔斷時用到的參數
  

  :) SHOW CREATE QUOTA [name | CURRENT];

• SHOW CREATE SETTINGS PROFILE：顯示創建settings時用到的參數
  

  :) SHOW CREATE [SETTINGS] PROFILE name;

• SHOW USERS：返回用戶列表。查看用戶參數，請參閱系統表system.users。
  

  :) SHOW USERS;

• SHOW ROLES：返回角色列表。查看角色參數，請參閱系統表system.roles 和 system.role-grants。
  

  :) SHOW [CURRENT|ENABLED] ROLES;

• SHOW PROFILES：返回配置文件列表。要查看配置參數，請參閱系統表settings_profiles。
  

  :) SHOW [SETTINGS] PROFILES;

• SHOW POLICIES：返回指定表的行策略列表。 要查看用戶帳戶參數，請參閱系統表system.row_policies。
  

  :) SHOW [ROW] POLICIES [ON [db.]table];

• SHOW QUOTAS：返回配額列表。 要查看配額參數，請參閱系統表system.quotas。
  

  :) SHOW QUOTAS;

• SHOW QUOTA：返回所有用戶或當前用戶的配額。 要查看其他參數，請參閱系統表system.quotas_usage 和 system.quota_usage。
  

  :) SHOW [CURRENT] QUOTA;

• SHOW ACCESS：顯示目前所有的users、roles、profiles、grants信息。
  

  :) SHOW ACCESS;

• SHOW SETTINGS：顯示系統設置的列表。 從 system.settings 表中選擇數據。
  

  :) SHOW [CHANGED] SETTINGS LIKE|ILIKE <name>;

  LIKE | ILIKE 允許為設置名稱指定匹配模式。 可以包含諸如 % 或 _ 之類的全局變量。
       LIKE：區分大小寫，
       ILIKE：不區分大小寫。
       CHANGED：查詢僅返回從默認值更改的設置。

  eg：

  -- 使用 LIKE 子句查詢：
  :) SHOW SETTINGS LIKE 'send_timeout';
  
  -- 使用 ILIKE 子句查詢：
  :) SHOW SETTINGS ILIKE '%CONNECT_timeout%';
  
  -- 使用 CHANGED 子句查詢:
  :) SHOW CHANGED SETTINGS ILIKE '%MEMORY%'

• SHOW CLUSTER(s)：返回集群列表。 所有可用的集群都列在 system.clusters  表中
  

  -- 指定查看一個集群
  :) SHOW CLUSTER '<name>';
  
  -- 模糊匹配集群
  :) SHOW CLUSTERS [LIKE|NOT LIKE '<pattern>'] [LIMIT <N>];
  
  -- 查看所有集群
  :) SHOW CLUSTERS;

到此，訪問權限和賬戶管理的介紹已經結束，包括了配置文件和SQL方式的設置，從用戶創建/修改/刪除、角色創建/修改/刪除、權限創建/撤等等，更多的信息信息可以見官網說明。

實戰

前提條件：因為是通過SQL-driven來進行賬號操作的，在ClickHouse安裝好之后，會有個默認賬戶default，在該用戶下面開 access_management 參數即可。開啟參數：

    <users>

        <default>
            <password>123456</password>
            <networks>
                <ip>::/0</ip>
            </networks>
            <profile>default</profile>
            <quota>default</quota>
            <access_management>1</access_management>
        </default>

    </users>

之后通過default用戶進行SQL-driven的賬號管理操作。

1. 創建賬號

• 管理賬號
  

  -- 創建賬號
  :) create user dba host ip '127.0.0.1' identified with sha256_password by '123456';
  
  -- 授權，all
  :) grant all on *.* to dba with grant option;

• 普通業務讀寫賬號
  

  -- 創建賬號
  :) create user app host ip '127.0.0.1' identified with sha256_password by '123456';
  
  -- 授權，增刪改查權限
  :) grant select,insert,alter delete,alter update on testdb.* to app; 

• 只讀賬號
  

  -- 創建賬號
  :) create user ro host ip '127.0.0.1' identified with sha256_password by '123456';
  
  -- 授權，增刪改查權限
  :) grant select on testdb.* to ro;

更多的語法見上面的CREATE USER。

2. 創建Role

• 管理Role
  

  -- 創建Role
  :) CREATE ROLE DBA;
  
  -- 授權管理
  :) GRANT ALL ON *.* TO DBA with grant option;
  
  -- 給用戶授權角色
  :) GRANT DBA TO dba1;

• 讀寫Role
  

  -- 創建Role
  :) CREATE ROLE WRITABLE;
  
  -- 授權增刪改查
  :) GRANT select,insert,alter delete,alter update ON *.* TO WRITABLE;
  
  -- 給用戶授權角色
  :) GRANT WRITABLE TO rw;

• 只讀Role
  

  -- 創建Role
  :) CREATE ROLE READONLY;
  
  -- 授權增刪改查
  :) GRANT select ON *.* TO READONLY;
  
  -- 給用戶授權角色
  :) GRANT READONLY TO ro;

更多的語法見上面的CREATE ROLE。

3. 創建行策略

用於確定用戶可以從表中讀取哪些行的過濾器，對應配置問了里的filter參數。注意：行策略僅對具有只讀訪問權限的用戶有意義。

-- 創建行策略
:) CREATE ROW POLICY pol1 ON testdb.ttt USING b=1 TO app1;

-- 創建用戶，該用戶需要有select權限，才能應用
:) create user app1 host ip '127.0.0.1' identified with sha256_password by '123456'; 

-- 行策略應用，該策略只能訪問x2表id大於5的數據
:) CREATE ROW POLICY pol1 ON testdb.x2 USING id>5 TO app1;

更多的語法見上面的 CREATE ROW POLICY。

4. 創建QUOTA
分配給用戶或角色的配額熔斷策略，限制用戶的使用資源。 

-- 創建quota
:) CREATE QUOTA qA FOR INTERVAL 5 minute MAX queries = 10 TO app1;

限制用戶app1，5分鍾之內最多執行次數，超過則報錯：

Code: 201. DB::Exception: Received from localhost:9010. DB::Exception: Quota for user `app1` for 300s has been exceeded: queries = 11/10. Interval will end at 2021-07-01 00:20:00. Name of quota template: `qA`.

更多的語法見上面的 CREATE QUOTA。

5. 創建Profile

創建可分配給用戶或角色的的配置文件。

-- 限制用戶app的最大使用內存。
:) CREATE SETTINGS PROFILE max_memory_usage_profile SETTINGS max_memory_usage = 100000001 MIN 90000000 MAX 110000000 TO app;

更多的語法見上面的 CREATE SETTINGS PROFILE。到此，正常的用戶權限設置已經完成。

 

總結

從上面看到，通過SQL-driven來設置用戶權限和管理比修改配置文件要方便很多，官方也推薦使用該方式進行用戶權限管理。通過該方式配置的用戶都是以文件形式存儲在access目錄中，該目錄的位置是由參數 local_directory 控制：

        <local_directory>
            <!-- Path to folder where users created by SQL commands are stored. -->
            <!-- <path>/var/lib/clickhouse/access/</path> -->
            <path>/ccdata/clickhouse/access/</path>
        </local_directory>

注意，如果把該目錄的文件刪除，則會讓這些用戶角色全部失效。

 

參考文章：

訪問權限和賬戶管理