功能介绍
腾讯云数据仓库 TCHouse-C 提供用户一个可视化界面,可以通过在界面创建 RBAC 账户,然后对账户进行权限配置,同时还可以
对账户做配额、配置文件、行策略等限制,从而实现对云数据仓库 TCHouse-C 集群更便捷、高效的账户权限管控。
账户
提供账户的创建、授权、重置密码和删除账户功能。
说明:
腾讯云数据仓库 TCHouse-C 提供 XML 和 RBAC 两种账户,二者差异如下:
XML 账户是在 users.xml 配置文件里定义的用户,创建集群时会默认创建名为 default 的 XML 账户,其密码由用户在创建集群时指定,可自行在 user.xml 中进行修改。
RBAC 账户是用户在控制台账户管控界面创建的账户,建议不要命名为 default 或重名,否则可能会与 XML 账户造成冲突、导致权限不一致。
注意:
自2023年9月起,创建集群时需要强制指定 default 账户密码,避免因空密码或弱密码带来的安全风险。
账户管理
1. 登录 TCHouse-C 控制台,在集群列表中单击目标 ID/名称,在集群详情页切换到账户管理页签。
2. 用户可对实例实施账户管理,包括新增账户、修改密码和删除账户:
说明
账户命名规则:由⼩写字⺟、数字和下划线组成,以字⺟开头,以字⺟或数字结尾,⻓度为2-16字符。
密码设置规则:包含⼩写字⺟、⼤写字⺟、数字以及特殊字符((、)、!、@、#、$、%、^、&、*、|、?、>、<)其中三项,不能以“/”开头,在8 - 30 位字符数以内(推荐12位以上)。
出于账户安全考虑,已不再支持查看密码功能,如需帮助请 提交工单 联系售后工程师支持。
修改 default 账户密码
注意:
修改 default 密码前,请确认客户端当前是否使用 default 账号进行集群读写,避免由于修改密码操作导致的读写异常。
1. 登录 腾讯云数据仓库 TCHouse-C 控制台,在集群列表中选择对应的集群,单击集群名称/ID进入集群详情页,在集群详情页单击参数配置并选择 XML模式。
2. 在 users.xml 配置文件中找到 default 账户的密码配置,配置文件如下图。
3. 当前支持以明文(出于安全考虑,生产环境避免使用明文密码)、SHA256 哈希密码(推荐)以及双 SHA1 哈希密码的形式设置密码,生产环境强烈推荐使用 SHA256 哈希密码,密码生成方式如下:
#!/bin/bash# 生成8位随机密码PASSWORD=$(openssl rand -base64 12 | tr -dc 'a-zA-Z0-9!@#$%' | head -c8)echo "生成的密码: $PASSWORD"# 计算SHA256哈希HASH=$(echo -n "$PASSWORD" | sha256sum | awk '{print $1}')echo "SHA256哈希: $HASH"# 验证哈希计算(可选)echo "验证计算:"echo -n "$PASSWORD" | sha256sum
4. 将生成的 SHA256 哈希值添加到 user.xml 配置文件中,如以下示例:
<users><default> <!-- 此处为默认的 default 账户名 --><!-- 使用 SHA256 哈希密码 --><password_sha256_hex>65e84be33532fb784c48129675f9eff3a682b27168c0ea744b2cf58ee02337c5</password_sha256_hex><!-- 或其他配置方式 --><!-- <password>明文密码</password> --><!-- <password_double_sha1_hex>e395796d6546b1b65db9d665cd43f0e858dd4303</password_double_sha1_hex> --></default></users>
5. 配置修改后需要重启集群,重启后配置生效,请妥善保管生成的密码和哈希值。
授权
1. 登录 云数据仓库 TCHouse-C 控制台 ,在集群列表中单击目标 ID/名称,在集群详情页切换到账户管理页签,单击前往授权或直接切换到授权页签,对账户进行授权(选择V-cluster、授予库、表等权限):
授权访问范围:⽀持授予账户所有数据库和表授权,也可按需授予账户部分数据库和表操作权限。
普通权限:
查询(默认打开):SELECT —— 库表、视图、字典的查询。
设置:ALTER —— 表结构修改。
插⼊:INSERT —— 表数据插⼊。
⾼危权限:
表权限
建表:CREATE TABLE、CREATE VIEW、CREATE DICTIONARY —— 数据表、视图、字典的创建。
清理:TRUNCATE,OPTIMIZE —— 清理表数据,包括清空和合并数据。
删表:DROP TABLE、DROP VIEW、DROP DICTIONARY —— 数据表、视图、字典的删除。
库权限
建库:CREATE DATABASE —— 创建数据库,作⽤于全局,因此选中了此权限,能看到所有数据库。
删库:DROP DATABASE —— 删除数据库,作⽤于具体库。
2. 部分数据库和表授权
说明:
部分数据库和表授权,⽀持更细粒度、灵活的库表权限配置,可对任意库、表做不同的权限配置。
每次权限配置都是增量操作:跟上次权限作对比,库表没有变化的权限不做删除,只删减少的权限和添加新增的权限,从⽽达到权限变更过程中不影响业务操作。
配置
Row Policy(行策略)、Settings Profile(配置文件)和 Quota(配额)这些之前只能通过 XML 设置的功能点,在 20.3 之后的版本中,都支持按 SQL 驱动的方式来维护(创建、修改和删除)。
1. Quota(配额)
说明:
Quota 提供 7 个配置项供配置,鼠标移动到每个配置项上会显示配置项的中⽂意义。
用户界面可以选择 7 个配置项中的 N 个作为⼀个组合。
2. Settings Profile(配置文件)
每个 Setting profile 会包含 N 个配置项,配置项全在 system 库下 settings 表里头,总共有 335 个配置项。用户界面选择其中的 N 个配置项作为⼀个组合,命名后就形成了⼀个配置⽂件,这个配置⽂件可以同时作用于⼀个或多个 RBAC ⽤户。
3. Row Policy(行策略)
行策略是⼀个过滤器,它定义了哪些⾏可供用户看到。
说明:
如果集群配置了某个表的多个行策略,那没有应用到任何策略的用户将不能查询该表的数据,请谨慎操作。
注意事项
1. 可多次操作授予一个账户关联多个 V-cluster 的库表权限,一次账户、V-cluster 授权将生成一条授权记录。
2. 界面授权后,默认的 XML 无密码账户 default 需要进行密码修改,否则页面账户管理仍存在安全隐患。
3. 用户界面配置了 RBAC 账户之后,即可在 云数据仓库 TCHouse-C 控制台 >SQL 工作区 执行日常的 ClickHouse 命令操作。
4. 新 SQL 工作区 平台做了放开,支持 XML 用户登入操作。
