ユーザーとロールの設定
users.xml 設定ファイルの users セクションには、ユーザーの設定が含まれます。
ClickHouse は、ユーザー管理のための SQL 駆動のワークフロー もサポートしています。こちらの利用を推奨します。
users セクションの構造:
user_name/password
パスワードは平文または SHA256(16進数形式)で指定できます。
-
パスワードを平文で設定する場合(非推奨)、
password要素に記述します。例:
<password>qwerty</password>。パスワードは空のままにしておくこともできます。
- パスワードを SHA256 のハッシュ値で設定する場合、
password_sha256_hex要素に記述します。
たとえば、<password_sha256_hex>65e84be33532fb784c48129675f9eff3a682b27168c0ea744b2cf58ee02337c5</password_sha256_hex> のようになります。
シェルでパスワードを生成する例:
結果の1行目はパスワードです。2行目は対応する SHA256 ハッシュです。
-
MySQL クライアントとの互換性のために、パスワードはダブル SHA1 ハッシュで指定できます。その場合は
password_double_sha1_hex要素に設定します。例えば、
<password_double_sha1_hex>08b4a0f1de6ad37da17359e592c8d74788a83eb0</password_double_sha1_hex>のように指定します。シェルでパスワードを生成する例:
結果の1行目がパスワードです。2行目が対応するダブル SHA1 ハッシュです。
username/ssh-key
この設定により、SSH 鍵を用いた認証を行えます。
ssh-keygen で生成された次のような SSH 鍵があるとします。
ssh_key 要素は次のようであることが想定されています
ssh-ed25519 を、他のサポートされているアルゴリズムである ssh-rsa または ecdsa-sha2-nistp256 に置き換えます。
access_management
この設定は、ユーザーに対して SQL 駆動のアクセス制御およびアカウント管理を使用するかどうかを有効または無効にします。
取りうる値:
- 0 — 無効。
- 1 — 有効。
デフォルト値: 0。
grants
この設定により、指定したユーザーに任意の権限を付与できます。
リストの各要素は、被付与者 (grantees) を指定していない GRANT クエリである必要があります。
例:
この設定は、dictionaries、access_management、named_collection_control、show_named_collections_secrets および allow_databases の各設定と同時に指定することはできません。
user_name/networks
ユーザーが ClickHouse サーバーに接続できるネットワークの一覧です。
リストの各要素は、次のいずれかの形式を取ることができます。
-
<ip>— IP アドレスまたはネットワークマスク。例:
213.180.204.3,10.0.0.1/8,10.0.0.1/255.255.255.0,2a02:6b8::3,2a02:6b8::3/64,2a02:6b8::3/ffff:ffff:ffff:ffff::。 -
<host>— ホスト名。例:
example01.host.ru。アクセスを確認するために DNS クエリが実行され、返されたすべての IP アドレスが接続元アドレスと照合されます。
-
<host_regexp>— ホスト名に対する正規表現。例:
^example\d\d-\d\d-\d\.host\.ru$
アクセスを確認するために、まずピアアドレスに対して DNS PTR クエリ が実行され、その結果に指定された regexp が適用されます。次に、PTR クエリの結果に対して別の DNS クエリが実行され、取得したすべてのアドレスがピアアドレスと照合されます。regexp の末尾には必ず $ を付けることを強く推奨します。
DNS クエリのすべての結果は、サーバーが再起動するまでキャッシュされます。
例
任意のネットワークからのユーザーへのアクセスを許可するには、次を指定します。
ファイアウォールが適切に構成されている場合、またはサーバーがインターネットに直接接続されていない場合を除き、任意のネットワークからのアクセスを開放するのは安全ではありません。
localhost からのみアクセスを許可するには、次のように指定します。
user_name/profile
ユーザーに設定プロファイルを割り当てることができます。設定プロファイルは users.xml ファイル内の別セクションで定義します。詳細については、Profiles of Settings を参照してください。
user_name/quota
クオータを使用すると、一定期間にわたるリソース使用量を追跡したり、制限したりできます。クオータは、users.xml 設定ファイルの quotas
セクションで設定します。
ユーザーに一連のクオータを割り当てることができます。クオータ設定の詳細な説明については、Quotas を参照してください。
user_name/databases
このセクションでは、現在のユーザーによって実行される SELECT クエリに対して ClickHouse が返す行を制限することで、基本的な行レベルセキュリティを実装できます。
例
次の設定では、ユーザー user1 は、id フィールドの値が 1000 である行のみを、SELECT クエリの結果として table1 から確認できるように制限されます。
filter には、UInt8 型の値を返す任意の式を指定できます。通常は比較演算子や論理演算子を含みます。database_name.table1 の行のうち、filter の結果が 0 を返すものは、このユーザーには返されません。このフィルタリングは PREWHERE 演算と互換性がなく、WHERE→PREWHERE 最適化を無効にします。
ロール
user.xml 設定ファイルの roles セクションを使用して、あらかじめ定義されたロールを任意に作成できます。
roles セクションの構造は次のとおりです。
これらのロールは、users セクション内のユーザーに対して付与することもできます。
