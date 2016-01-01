Безопасный доступ к данным в GCS

В этом руководстве показано, как безопасно аутентифицироваться в Google Cloud Storage (GCS) и получать доступ к вашим данным из ClickHouse Cloud.

ClickHouse Cloud подключается к GCS с использованием ключей HMAC (Hash-based Message Authentication Code), связанных с учетной записью службы Google Cloud. Этот подход обеспечивает безопасный доступ к вашим бакетам GCS без встраивания учетных данных непосредственно в запросы.

Как это работает:

Вы создаете учетную запись службы Google Cloud с соответствующими правами доступа к GCS Вы генерируете HMAC-ключи для этой учетной записи службы Вы передаете эти HMAC-учетные данные в ClickHouse Cloud ClickHouse Cloud использует эти учетные данные для доступа к вашим бакетам GCS

Этот подход позволяет управлять всем доступом к бакетам GCS через политики IAM, назначенные учетной записи службы, что упрощает предоставление или отзыв доступа без изменения политик отдельных бакетов.

Для работы по этому руководству вам понадобится:

Активный сервис ClickHouse Cloud

Проект Google Cloud с включённым Cloud Storage

Права на создание сервисных аккаунтов и генерацию HMAC-ключей в вашем проекте GCP

Создайте сервисный аккаунт Google Cloud В консоли Google Cloud перейдите в раздел IAM & Admin → Service Accounts В левом меню выберите Service accounts , затем нажмите Create service account : Введите имя и описание для сервисной учётной записи, например: Service account name: clickhouse-gcs-access (or your preferred name) Service account description: Service account for ClickHouse Cloud to access GCS buckets Нажмите Create and continue Назначьте сервисной учётной записи роль Storage Object User : Данная роль предоставляет доступ на чтение и запись объектов GCS Совет Для доступа только на чтение используйте вместо этого роль Storage Object Viewer Для более гранулярного контроля можно создать пользовательскую роль Нажмите Continue , затем Done Запишите адрес электронной почты учётной записи службы: Предоставьте сервисному аккаунту доступ к бакету Доступ можно предоставить на уровне проекта или на уровне отдельного бакета. Перейдите в раздел Cloud Storage → Buckets Нажмите на бакет, к которому хотите предоставить доступ Откройте вкладку Permissions В разделе «Permissions» нажмите Grant access для принципала, созданного на предыдущих шагах В поле "New principals" введите адрес электронной почты сервисного аккаунта Выберите роль: Пользователь объектного хранилища с правами чтения и записи

роль Storage Object Viewer для доступа только на чтение Нажмите Save Повторите для всех дополнительных бакетов Перейдите в IAM & Admin → IAM Нажмите Grant access Введите адрес электронной почты сервисного аккаунта в поле New principals . Выберите роль «Storage Object User» (или «Storage Object Viewer» для доступа только на чтение) Нажмите «Save» Рекомендация по безопасности Предоставляйте доступ только к тем бакетам, к которым необходим доступ ClickHouse, вместо разрешений на уровне всего проекта. Генерация HMAC-ключей для сервисной учетной записи Перейдите в Cloud Storage → Настройки → Совместимость : Если вы не видите раздел "Access keys", нажмите Enable interoperability access В разделе "Access keys for service accounts" нажмите Create a key for a service account : Выберите сервисный аккаунт, созданный ранее (например, [email protected]) Нажмите Create key : Будет отображен ключ HMAC. Немедленно сохраните Access Key и Secret — вы не сможете просмотреть секрет повторно. Примеры ключей приведены ниже: Access Key: GOOG1EF4YBJVNFQ2YGCP3SLV4Y7CMFHW7HPC6EO7RITLJDDQ75639JK56SQVD Secret: nFy6DFRr4sM9OnV6BG4FtWVPR25JfqpmcdZ6w9nV Важно Храните эти учетные данные в безопасном месте. После закрытия этого экрана секретный ключ невозможно будет получить повторно. В случае утери секретного ключа потребуется сгенерировать новые ключи. Теперь вы можете использовать учётные данные HMAC для доступа к GCS из ClickHouse Cloud. Для этого используйте табличную функцию GCS: SELECT * FROM gcs( 'https://storage.googleapis.com/clickhouse-docs-example-bucket/epidemiology.csv', 'GOOG1E...YOUR_ACCESS_KEY', 'YOUR_SECRET_KEY', 'CSVWithNames' ); Используйте маски для указания нескольких файлов: SELECT * FROM gcs( 'https://storage.googleapis.com/clickhouse-docs-example-bucket/*.parquet', 'GOOG1E...YOUR_ACCESS_KEY', 'YOUR_SECRET_KEY', 'Parquet' ); ClickPipes использует ключи HMAC (Hash-based Message Authentication Code) для аутентификации с Google Cloud Storage. При настройке ClickPipe для GCS: Во время настройки ClickPipe в поле Authentication method выберите Credentials Укажите учётные данные HMAC, полученные на предыдущих шагах Примечание Аутентификация через сервисный аккаунт в настоящее время не поддерживается — необходимо использовать HMAC-ключи URL бакета GCS должен иметь формат: https://storage.googleapis.com/<bucket>/<path> (а не gs:// ) HMAC-ключи должны быть связаны с сервисной учетной записью, которая имеет роль roles/storage.objectViewer , включающую: storage.objects.list : для вывода списка объектов в бакете

: для вывода списка объектов в бакете storage.objects.get : для извлечения/чтения объектов

Создавайте отдельные сервисные аккаунты для сред разработки, тестирования (staging) и промышленной эксплуатации (production). Например:

Это позволит при необходимости легко отозвать доступ для конкретной среды, не затрагивая остальные.

Выдавайте только минимально необходимые разрешения:

Используйте роль Storage Object Viewer для доступа только на чтение

для доступа только на чтение Предоставляйте доступ к конкретным бакетам, а не ко всему проекту

Рассмотрите использование условий на уровне бакета для ограничения доступа к определённым путям

Настройте план ротации ключей:

Генерируйте новые HMAC-ключи

Обновляйте конфигурацию ClickHouse с использованием новых ключей

Проверяйте работоспособность с новыми ключами

Удаляйте старые HMAC-ключи

Совет Google Cloud не устанавливает срок действия HMAC-ключей, поэтому вам необходимо реализовать собственную политику ротации.

Включите и отслеживайте Cloud Audit Logs для Cloud Storage: