Подключиться
Language / Region
© 2021 ООО «Яндекс.Облако»
Yandex Managed Service for ClickHouse

Управление пользователями ClickHouse

Статья создана
,
улучшена

Managed Service for ClickHouse позволяет управлять пользователями и их индивидуальными настройками двумя способами:

  • С помощью стандартных интерфейсов Yandex.Cloud (CLI, API, консоль управления). Способ подходит, если вы хотите добавлять, изменять и удалять пользователей и их индивидуальные настройки, используя возможности сервиса Yandex Managed Service for ClickHouse.
  • С помощью SQL-запросов к кластеру. Способ подходит, если вы хотите использовать уже существующее у вас решение для создания и управления пользователями или если вы используете RBAC.

Управление пользователями через SQL

Чтобы управлять пользователями через SQL, создайте кластер с включенной настройкой Управление пользователями через SQL.

В кластере с включенным управлением пользователями через SQL:

  • Пользователями можно управлять только через SQL.
  • Невозможно включить управление пользователями с помощью стандартных интерфейсов Yandex.Cloud (CLI, API, консоль управления).
  • Управление пользователями осуществляется с помощью учетной записи admin. Пароль для нее задается при создании кластера.

Внимание

Настройки Управление пользователями через SQL и Управление базами данных через SQL невозможно изменить после создания кластера!

Подробнее об управлении пользователями через SQL см. в документации ClickHouse.

Получить список пользователей

  1. Перейдите на страницу каталога и выберите сервис Managed Service for ClickHouse.
  2. Нажмите на имя нужного кластера, затем выберите вкладку Пользователи.

Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Чтобы получить список пользователей кластера, выполните команду:

$ yc managed-clickhouse user list
     --cluster-name=<имя кластера>

Имя кластера можно запросить со списком кластеров в каталоге.

  1. Подключитесь к кластеру, используя учетную запись admin.

  2. Получите список пользователей:

    SHOW USERS;

Добавить пользователя

  1. Перейдите на страницу каталога и выберите сервис Managed Service for ClickHouse.

  2. Нажмите на имя нужного кластера и выберите вкладку Пользователи.

  3. Нажмите кнопку Добавить.

  4. Введите имя пользователя базы данных и пароль.

    Примечание

    Имя пользователя может содержать латинские буквы, цифры, дефис и нижнее подчеркивание, но должно начинаться с буквы или нижнего подчеркивания.

    Длина пароля от 8 до 128 символов.

  5. Выберите одну или несколько баз данных, к которым должен иметь доступ пользователь:

    1. Выберите базу данных из выпадающего списка База данных.
    2. Нажмите кнопку Добавить справа от выпадающего списка.
    3. Повторите два предыдущих шага, пока не будут выбраны все требуемые базы данных.
    4. Чтобы удалить базу, добавленную по ошибке, нажмите значок справа от имени базы в перечне Права.

  6. Задайте дополнительные настройки для пользователя:

    1. Настройте квоты в разделе Дополнительные настройки → Quotas:
      1. Чтобы добавить квоту, нажмите значок или кнопку + Quotas. Вы можете добавить несколько квот, которые будут действовать одновременно.
      2. Чтобы удалить квоту, нажмите значок справа от имени квоты и выберите пункт Удалить.
      3. Чтобы изменить квоту, задайте требуемые значения настроек для нее.
    2. Настройте ClickHouse в разделе Дополнительные настройки → Settings.

  7. Нажмите кнопку Добавить.

См. также: пример создания пользователя с правами «только чтение».

Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Чтобы создать пользователя в кластере, выполните команду:

$ yc managed-clickhouse user create <имя пользователя>
     --cluster-name=<имя кластера>
     --password=<пароль пользователя>
     --permissions=<список баз, к которым пользователь должен иметь доступ>
     --quota=<список настроек одной квоты для пользователя>
     --settings=<список настроек ClickHouse для пользователя>

Примечание

Имя пользователя может содержать латинские буквы, цифры, дефис и нижнее подчеркивание, но должно начинаться с буквы или нижнего подчеркивания.

Длина пароля от 8 до 128 символов.

Подробнее о квотах и настройках ClickHouse читайте в разделе Настройки ClickHouse.

Чтобы задать несколько квот, перечислите их, используя требуемое количество параметров --quota в команде:

$ yc managed-clickhouse user create <имя пользователя>
    ...
    --quota="<настройки квоты 0>"
    --quota="<настройки квоты 1>"
    ...

Имя кластера можно запросить со списком кластеров в каталоге.

См. также: пример создания пользователя с правами «только чтение».

  1. Откройте актуальный конфигурационный файл Terraform с планом инфраструктуры.

    О том, как создать такой файл, см. в разделе Создание ClickHouse-кластера.

  2. Добавьте к описанию кластера Managed Service for ClickHouse блок user:

    resource "yandex_mdb_clickhouse_cluster" "<имя кластера>" {
  ...
  user {
    name     = "<имя пользователя>"
    password = "<пароль>"
    ...
  }
}

    Примечание

    Имя пользователя может содержать латинские буквы, цифры, дефис и нижнее подчеркивание, но должно начинаться с буквы или нижнего подчеркивания.

    Длина пароля от 8 до 128 символов.

  3. Проверьте корректность настроек.

    1. В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.

    2. Выполните команду:

      terraform validate

      Если в файлах конфигурации есть ошибки, Terraform на них укажет.

  4. Подтвердите изменение ресурсов.

    1. Выполните команду для просмотра планируемых изменений:

      terraform plan

      Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.

    2. Если вас устраивают планируемые изменения, внесите их:

      1. Выполните команду:

        terraform apply

      2. Подтвердите изменение ресурсов.

      3. Дождитесь завершения операции.

Подробнее см. в документации провайдера Terraform.

  1. Подключитесь к кластеру, используя учетную запись admin.

  2. Создайте пользователя:

    CREATE USER <имя пользователя> IDENTIFIED WITH sha256_password BY '<пароль пользователя>';

    Примечание

    Имя пользователя может содержать латинские буквы, цифры, дефис и нижнее подчеркивание, но должно начинаться с буквы или нижнего подчеркивания.

    Длина пароля от 8 до 128 символов.

Подробнее о создании пользователей см. в документации ClickHouse.

Изменить пароль

  1. Перейдите на страницу каталога и выберите сервис Managed Service for ClickHouse.
  2. Нажмите на имя нужного кластера и выберите вкладку Пользователи.
  3. Нажмите значок и выберите пункт Изменить пароль.
  4. Задайте новый пароль и нажмите кнопку Изменить.

Примечание

Длина пароля от 8 до 128 символов.

Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Чтобы изменить пароль пользователя, выполните команду:

$ yc managed-clickhouse user update <имя пользователя>
     --cluster-name=<имя кластера>
     --password=<новый пароль>

Примечание

Длина пароля от 8 до 128 символов.

Имя кластера можно запросить со списком кластеров в каталоге.

  1. Откройте актуальный конфигурационный файл Terraform с планом инфраструктуры.

    О том, как создать такой файл, см. в разделе Создание ClickHouse-кластера.

  2. Найдите в описании кластера Managed Service for ClickHouse блок user для нужного пользователя.

  3. Измените значение поля password:

    resource "yandex_mdb_clickhouse_cluster" "<имя кластера>" {
  ...
  user {
    name     = "<имя пользователя>"
    password = "<новый пароль>"
    ...
  }
}

    Примечание

    Длина пароля от 8 до 128 символов.

  4. Проверьте корректность настроек.

    1. В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.

    2. Выполните команду:

      terraform validate

      Если в файлах конфигурации есть ошибки, Terraform на них укажет.

  5. Подтвердите изменение ресурсов.

    1. Выполните команду для просмотра планируемых изменений:

      terraform plan

      Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.

    2. Если вас устраивают планируемые изменения, внесите их:

      1. Выполните команду:

        terraform apply

      2. Подтвердите изменение ресурсов.

      3. Дождитесь завершения операции.

Подробнее см. в документации провайдера Terraform.

  1. Подключитесь к кластеру, используя учетную запись admin.

  2. Измените пароль пользователя:

    ALTER USER <имя пользователя> IDENTIFIED BY '<новый пароль>';

    Примечание

    Длина пароля от 8 до 128 символов.

Подробнее об изменении пользователей см. в документации ClickHouse.

Изменить пароль пользователя admin

Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Чтобы изменить пароль пользователя admin, выполните команду:

yc managed-clickhouse cluster update <идентификатор или имя кластера> \
   --admin-password <новый пароль пользователя admin>

Идентификатор и имя кластера можно запросить со списком кластеров в каталоге.

Совет

  • Для повышения безопасности вместо --admin-password используйте параметр --read-admin-password: новый пароль нужно будет ввести с клавиатуры, и он не сохранится в истории команд.
  • Чтобы сгенерировать пароль автоматически, используйте параметр --generate-admin-password. Ответ на команду будет содержать новый пароль.

  1. Откройте актуальный конфигурационный файл Terraform с планом инфраструктуры.

    О том, как создать такой файл, см. в разделе Создание ClickHouse-кластера.

  2. Измените значение поля admin_password:

    resource "yandex_mdb_clickhouse_cluster" "<имя кластера>" {
  ...
  admin_password = "<пароль пользователя admin>"
  ...
}

    Примечание

    Длина пароля от 8 до 128 символов.

  3. Проверьте корректность настроек.

    1. В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.

    2. Выполните команду:

      terraform validate

      Если в файлах конфигурации есть ошибки, Terraform на них укажет.

  4. Подтвердите изменение ресурсов.

    1. Выполните команду для просмотра планируемых изменений:

      terraform plan

      Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.

    2. Если вас устраивают планируемые изменения, внесите их:

      1. Выполните команду:

        terraform apply

      2. Подтвердите изменение ресурсов.

      3. Дождитесь завершения операции.

Подробнее см. в документации провайдера Terraform.

  1. Подключитесь к кластеру от имени пользователя admin.

  2. Выполните SQL-запрос:

    ALTER USER admin IDENTIFIED BY '<новый пароль>';

    Примечание

    Длина пароля от 8 до 128 символов.

Подробнее см. в документации ClickHouse.

Воспользуйтесь методом API update и передайте в запросе:

  • Идентификатор кластера в параметре clusterId. Чтобы узнать идентификатор, получите список кластеров в каталоге.
  • Новый пароль в параметре configSpec.adminPassword.
  • Список полей конфигурации кластера, подлежащих изменению (в данном случае — configSpec.adminPassword), в параметре updateMask.

Важно

Этот метод API сбросит все параметры изменяемого объекта, которые не были явно переданы в запросе, на значения по умолчанию. Чтобы избежать этого, перечислите настройки, которые вы хотите изменить, в параметре updateMask (одной строкой через запятую).

Изменить настройки пользователя

  1. Перейдите на страницу каталога и выберите сервис Managed Service for ClickHouse.
  2. Нажмите на имя нужного кластера и выберите вкладку Пользователи.
  3. Нажмите значок и выберите пункт Настройки.
  4. Настройте права пользователя на доступ к определенным базам данных:
    1. Чтобы предоставить доступ к требуемым базам данных:
      1. Выберите базу данных из выпадающего списка База данных.
      2. Нажмите кнопку Добавить справа от выпадающего списка.
      3. Повторите два предыдущих шага, пока не будут выбраны все требуемые базы данных.
    2. Чтобы отозвать доступ к определенной базе, удалите ее из перечня Права, нажав значок справа от имени базы.
  5. Настройте квоты для пользователя в разделе Дополнительные настройки → Quotas:
    1. Чтобы добавить квоту, нажмите значок или кнопку + Quotas. Вы можете добавить несколько квот, которые будут действовать одновременно.
    2. Чтобы удалить квоту, нажмите значок справа от имени квоты и выберите пункт Удалить.
    3. Чтобы изменить квоту, задайте требуемые значения настроек для нее.
  6. Измените настройки ClickHouse для пользователя в разделе Дополнительные настройки → Settings.
  7. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Из интерфейса командной строки можно изменить настройки пользователя:

  1. Чтобы настроить права пользователя на доступ к определенным базам данных, выполните команду, перечислив список имен баз данных с помощью параметра --permissions:

    $ yc managed-clickhouse user update <имя пользователя>
     --cluster-name=<имя кластера>
     --permissions=<список баз, к которым пользователь должен иметь доступ>

    Имя кластера можно запросить со списком кластеров в каталоге.

    Эта команда предоставляет пользователю доступ к базам данных, указанным в списке.

    Чтобы отозвать доступ к определенной базе, исключите ее имя из списка и передайте команде обновленный список.

  2. Чтобы изменить настройки квот для пользователя, выполните команду, перечислив список всех квот, с помощью параметров --quota (один параметр на каждую квоту):

    $ yc managed-clickhouse user update <имя пользователя>
     --cluster-name=<имя кластера>
     --quota=<настройки квоты 0 (без изменений)>
     --quota=<настройки квоты 1 (без изменений)>
     --quota=<настройки квоты 2 (с изменениями)>
     --quota=<настройки квоты 3 (без изменений)>
     --quota=<настройки квоты 4 (с изменениями)>
     --quota=<настройки квоты 5 (новая квота)>       
    ...

    Имя кластера можно запросить со списком кластеров в каталоге.

    Эта команда перезаписывает все существующие настройки квот пользователя новыми настройками, набор которых был передан команде.
    Перед выполнением команды убедитесь, что вы включили в этот набор как настройки новых и измененных квот, так и настройки существующих квот, которые не изменялись.

    Чтобы удалить одну или несколько квот пользователя, исключите настройки этих квот из набора и передайте команде обновленный набор параметров --quota.

    При задании интервала для квоты допустимо использовать запись с указанием единиц измерения: часов (h), минут (m), секунд (s) и миллисекунд (ms). Пример такой записи: 3h20m10s7000ms (итоговое значение представляется по-прежнему в миллисекундах: 12017000). Значение интервала должно быть кратно 1000 миллисекунд (значение вида 1s500ms является некорректным).

  3. Чтобы изменить настройки ClickHouse для пользователя, выполните команду, перечислив измененные настройки с помощью параметра --settings:

    $ yc managed-clickhouse user update <имя пользователя>
     --cluster-name=<имя кластера>
     --settings=<список настроек ClickHouse>

    Имя кластера можно запросить со списком кластеров в каталоге.

    Команда изменит только те настройки, которые явно указаны в параметре --settings. Например, команда с параметром --settings="readonly=1" изменит только настройку readonly и не сбросит значения остальных. Этим изменение настроек ClickHouse отличается от изменения настроек квот.

    С помощью этой команды невозможно удалить сделанную настройку, допустимо только явно присвоить ей значение по умолчанию (оно указано для каждой настройки).

  1. Откройте актуальный конфигурационный файл Terraform с планом инфраструктуры.

    О том, как создать такой файл, см. в разделе Создание ClickHouse-кластера.

  2. Чтобы настроить права пользователя на доступ к определенным базам данных, добавьте необходимое количество блоков permission к описанию пользователя кластера — по одному на каждую базу:

    resource "yandex_mdb_clickhouse_cluster" "<имя кластера>" {
  ...
  user {
    name     = "<имя пользователя>"
    password = "<пароль>"
    permission {
      database_name = "<база данных 1>"
    }
    ...
    permission {
      database_name = "<база данных N>"
    }
  }
}

    В поле database_name укажите имя базы данных, к которой нужно предоставить доступ.

  3. Чтобы изменить настройки квот для пользователя, добавьте необходимое количество блоков quota к его описанию.

    При описании квот обязательным является только поле interval_duration.

    resource "yandex_mdb_clickhouse_cluster" "<имя кластера>" {
  ...
  user {
    name     = "<имя пользователя>"
    password = "<пароль>"
    ...
    quota {
      interval_duration = <длительность интервала в миллисекундах>
      ...
    }
  }
}

  4. Чтобы изменить настройки ClickHouse для пользователя, добавьте блок settings к его описанию.

    resource "yandex_mdb_clickhouse_cluster" "<имя кластера>" {
  ...
  user {
    name     = "<имя пользователя>"
    password = "<пароль>"
    ...
    settings {
      <настройки СУБД для отдельного пользователя>
    }
  }
}

  5. Проверьте корректность настроек.

    1. В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.

    2. Выполните команду:

      terraform validate

      Если в файлах конфигурации есть ошибки, Terraform на них укажет.

  6. Подтвердите изменение ресурсов.

    1. Выполните команду для просмотра планируемых изменений:

      terraform plan

      Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.

    2. Если вас устраивают планируемые изменения, внесите их:

      1. Выполните команду:

        terraform apply

      2. Подтвердите изменение ресурсов.

      3. Дождитесь завершения операции.

Подробнее см. в документации провайдера Terraform.

  1. Подключитесь к кластеру, используя учетную запись admin.

  2. Чтобы изменить набор привилегий и ролей пользователя, используйте запросы GRANT и REVOKE. Например, выдайте пользователю права на чтение всех объектов в определенной базе данных:

    GRANT SELECT ON <имя базы данных>.* TO <имя пользователя>;

  3. Чтобы изменить настройки квот для пользователя, используйте запросы CREATE QUOTA, ALTER QUOTA и DROP QUOTA. Например, ограничьте суммарное количество запросов пользователя за период 15 месяцев:

    CREATE QUOTA <название квоты> FOR INTERVAL 15 MONTH MAX QUERIES 100 TO <имя пользователя>;

  4. Чтобы изменить учетную запись пользователя, используйте запрос ALTER USER. Например для изменения настроек ClickHouse выполните следующую команду, перечислив настройки подлежащие изменению:

    ALTER USER <имя пользователя> SETTINGS <список настроек ClickHouse>;

Удалить пользователя

  1. Перейдите на страницу каталога и выберите сервис Managed Service for ClickHouse.
  2. Нажмите на имя нужного кластера и выберите вкладку Пользователи.
  3. Нажмите значок и выберите пункт Удалить.

Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Чтобы удалить пользователя, выполните команду:

$ yc managed-clickhouse user delete <имя пользователя>
     --cluster-name=<имя кластера>

Имя кластера можно запросить со списком кластеров в каталоге.

  1. Откройте актуальный конфигурационный файл Terraform с планом инфраструктуры.

    О том, как создать такой файл, см. в разделе Создание ClickHouse-кластера.

  2. Удалите из описания кластера Managed Service for ClickHouse блок user с описанием нужного пользователя.

  3. Проверьте корректность настроек.

    1. В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.

    2. Выполните команду:

      terraform validate

      Если в файлах конфигурации есть ошибки, Terraform на них укажет.

  4. Подтвердите изменение ресурсов.

    1. Выполните команду для просмотра планируемых изменений:

      terraform plan

      Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.

    2. Если вас устраивают планируемые изменения, внесите их:

      1. Выполните команду:

        terraform apply

      2. Подтвердите изменение ресурсов.

      3. Дождитесь завершения операции.

Подробнее см. в документации провайдера Terraform.

  1. Подключитесь к кластеру, используя учетную запись admin.

  2. Удалите пользователя:

    DROP USER <имя пользователя>;

Подробнее об удалении объектов см. в документации ClickHouse.

Примеры

Создание пользователя с настройкой «только чтение»

Допустим, нужно добавить в существующий кластер с именем mych нового пользователя ro-user с паролем Passw0rd, причем:

  • пользователь должен иметь доступ к базе данных db1 кластера;
  • доступ должен осуществляться в режиме «только чтение» (readonly), без возможности изменения настроек.
  1. Перейдите на страницу каталога и выберите сервис Managed Service for ClickHouse.
  2. Нажмите на кластер с именем mych и выберите вкладку Пользователи.
  3. Нажмите кнопку Добавить.
  4. Введите имя пользователя базы данных ro-user и пароль Passw0rd.
  5. Выберите базу данных db1 из выпадающего списка База данных и нажмите кнопку Добавить справа от выпадающего списка.
  6. Выберите Дополнительные настройки → Settings → Readonly.
  7. В поле Readonly укажите значение 1.
  8. Нажмите кнопку Добавить.

Запустите следующую команду:

$ yc managed-clickhouse user create "ro-user" \
     --cluster-name="mych" \
     --password="Passw0rd" \
     --permissions="db1" \
     --settings="readonly=1"

После создания пользователя проверьте, что он действительно работает в режиме «только чтение»:

  1. Подключитесь к кластеру ClickHouse mych, используя созданного пользователя ro-user.

  2. Попытайтесь изменить какую-нибудь настройку, например, попытайтесь отключить режим «только чтение»:

    SET readonly=0

    В результате выполнения команды должно отобразиться сообщение о невозможности изменения настройки в режиме «только чтение»:

    DB::Exception: Cannot modify 'readonly' setting in readonly mode.

  1. Откройте актуальный конфигурационный файл Terraform с планом инфраструктуры.

    О том, как создать такой файл, см. в разделе Создание ClickHouse-кластера.

  2. Добавьте к описанию кластера блок user.

    resource "yandex_mdb_clickhouse_cluster" "mych" {
  name = "mych"

  database {
    name = "db1"
  }

  user {
    name     = "ro-user"
    password = "Passw0rd"
    permission {
      database_name = "db1"
    }
    settings {
      readonly = 1
    }
  }
  ...
}

  3. Проверьте корректность настроек.

    1. В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.

    2. Выполните команду:

      terraform validate

      Если в файлах конфигурации есть ошибки, Terraform на них укажет.

  4. Подтвердите изменение ресурсов.

    1. Выполните команду для просмотра планируемых изменений:

      terraform plan

      Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.

    2. Если вас устраивают планируемые изменения, внесите их:

      1. Выполните команду:

        terraform apply

      2. Подтвердите изменение ресурсов.

      3. Дождитесь завершения операции.

  1. Подключитесь к кластеру mych, используя учетную запись admin.

  2. Создайте пользователя:

    CREATE USER ro-user IDENTIFIED WITH sha256_password BY 'Passw0rd';

  3. Выдайте пользователю права на чтение всех объектов базы данных db1:

    GRANT SELECT ON db1.* TO ro-user;
Language / Region
© 2021 ООО «Яндекс.Облако»
В этой статье: