CREATE USER
사용자 계정을 생성합니다.
구문:
ON CLUSTER 절을 사용하면 클러스터 전체에서 사용자를 생성할 수 있습니다. 자세한 내용은 분산 DDL을 참조하십시오.
식별
USER를 식별하는 방법은 여러 가지가 있습니다:
IDENTIFIED WITH no_passwordIDENTIFIED WITH plaintext_password BY 'qwerty'IDENTIFIED WITH sha256_password BY 'qwerty'또는IDENTIFIED BY 'password'IDENTIFIED WITH sha256_hash BY 'hash'또는IDENTIFIED WITH sha256_hash BY 'hash' SALT 'salt'IDENTIFIED WITH double_sha1_password BY 'qwerty'IDENTIFIED WITH double_sha1_hash BY 'hash'IDENTIFIED WITH bcrypt_password BY 'qwerty'IDENTIFIED WITH bcrypt_hash BY 'hash'IDENTIFIED WITH ldap SERVER 'server_name'IDENTIFIED WITH kerberos또는IDENTIFIED WITH kerberos REALM 'realm'IDENTIFIED WITH ssl_certificate CN 'mysite.com:user'IDENTIFIED WITH ssh_key BY KEY 'public_key' TYPE 'ssh-rsa', KEY 'another_public_key' TYPE 'ssh-ed25519'IDENTIFIED WITH http SERVER 'http_server'또는IDENTIFIED WITH http SERVER 'http_server' SCHEME 'basic'IDENTIFIED BY 'qwerty'
비밀번호 복잡도 요구 사항은 config.xml에서 수정할 수 있습니다. 아래는 비밀번호가 최소 12자 이상이고 숫자를 1개 이상 포함하도록 요구하는 예시 구성입니다. 각 비밀번호 복잡도 규칙에는 비밀번호와 매칭할 정규식(regex)과 규칙에 대한 설명이 필요합니다.
ClickHouse Cloud에서는 기본적으로 비밀번호가 다음 복잡성 요건을 충족해야 합니다:
- 길이가 12자 이상이어야 합니다
- 숫자가 최소 1개 포함되어야 합니다
- 대문자가 최소 1개 포함되어야 합니다
- 소문자가 최소 1개 포함되어야 합니다
- 특수 문자가 최소 1개 포함되어야 합니다
예제
-
다음 사용자 이름은
name1이며 비밀번호가 필요하지 않습니다. 보안 측면에서는 거의 도움이 되지 않습니다. -
평문 비밀번호를 지정하려면:
팁비밀번호는
/var/lib/clickhouse/access의 SQL 텍스트 파일에 저장되므로plaintext_password를 사용하는 것은 좋지 않습니다. 다음 예시와 같이sha256_password사용을 권장합니다. -
가장 일반적인 옵션은 SHA-256으로 해시된 비밀번호를 사용하는 것입니다. ClickHouse는
IDENTIFIED WITH sha256_password를 지정하면 비밀번호를 자동으로 해시합니다. 예시는 다음과 같습니다:이제
name3사용자는my_password로 로그인할 수 있지만, 비밀번호는 위에 표시된 해시 값으로 저장됩니다. 다음 SQL 파일이/var/lib/clickhouse/access에 생성되며 서버 시작 시 실행됩니다:팁이미 사용자 이름에 대한 해시 값과 해당 salt 값을 만들어 둔 경우
IDENTIFIED WITH sha256_hash BY 'hash'또는IDENTIFIED WITH sha256_hash BY 'hash' SALT 'salt'를 사용할 수 있습니다.SALT와 함께sha256_hash로 식별하는 경우, 해시는 'password'와 'salt'를 이어 붙인 값에서 계산해야 합니다. -
double_sha1_password는 일반적으로 필요하지 않지만 (MySQL 인터페이스와 같이) 이를 요구하는 클라이언트와 작업할 때 유용합니다.ClickHouse는 다음 쿼리를 생성하여 실행합니다:
-
bcrypt_password는 비밀번호 저장 방식 중 가장 안전한 옵션입니다. 비밀번호 해시가 유출되더라도 무차별 대입 공격에 견딜 수 있는 bcrypt 알고리즘을 사용합니다.이 방식에서는 비밀번호 길이가 최대 72자까지로 제한됩니다. 해시 계산 및 비밀번호 검증에 필요한 연산량과 시간을 정의하는 bcrypt work factor 파라미터는 서버 설정에서 변경할 수 있습니다:
work factor는 4에서 31 사이의 값이어야 하며, 기본값은 12입니다.
참고인증 요청 빈도가 높은 애플리케이션에서는, 높은 work factor에서 bcrypt의 연산 오버헤드를 고려하여 다른 인증 방식을 사용하는 것을 고려하는 것이 좋습니다.
-
비밀번호 유형은 생략할 수도 있습니다:
이 경우 ClickHouse는 서버 설정에 지정된 기본 비밀번호 유형을 사용합니다:
사용 가능한 비밀번호 유형은 다음과 같습니다:
plaintext_password,sha256_password,double_sha1_password. -
여러 인증 방법을 함께 지정할 수도 있습니다:
참고:
- 이전 버전의 ClickHouse는 여러 인증 방법을 지정하는 구문을 지원하지 않을 수 있습니다. 따라서 ClickHouse 서버에 이러한 사용자가 있는 상태에서 이를 지원하지 않는 버전으로 다운그레이드하면, 해당 사용자는 사용할 수 없게 되고 사용자 관련 일부 작업이 실패하게 됩니다. 원활하게 다운그레이드하려면 다운그레이드 전에 모든 사용자가 하나의 인증 방법만 사용하도록 설정해야 합니다. 또는 위 절차 없이 서버를 다운그레이드한 경우, 문제가 있는 사용자는 삭제해야 합니다.
- 보안상의 이유로
no_password는 다른 인증 방법과 함께 사용할 수 없습니다. 따라서no_password는 쿼리에서 유일한 인증 방법인 경우에만 지정할 수 있습니다.
User Host
User host는 ClickHouse 서버로의 연결을 허용하는 호스트를 의미합니다. 호스트는 HOST 쿼리 섹션에서 다음과 같은 방식으로 지정할 수 있습니다:
HOST IP 'ip_address_or_subnetwork'— 사용자는 지정된 IP 주소 또는 서브네트워크에서만 ClickHouse 서버에 연결할 수 있습니다. 예를 들면HOST IP '192.168.0.0/16',HOST IP '2001:DB8::/32'와 같습니다. 운영 환경에서는host및host_regexp를 사용하면 추가 지연이 발생할 수 있으므로,HOST IP요소(IP 주소 및 해당 마스크)만 지정하는 것이 좋습니다.HOST ANY— 사용자는 어느 위치에서든 연결할 수 있습니다. 기본 옵션입니다.HOST LOCAL— 사용자는 로컬에서만 연결할 수 있습니다.HOST NAME 'fqdn'— User host를 FQDN으로 지정할 수 있습니다. 예:HOST NAME 'mysite.com'.HOST REGEXP 'regexp'— user host를 지정할 때 pcre 정규식을 사용할 수 있습니다. 예:HOST REGEXP '.*\.mysite\.com'.HOST LIKE 'template'— user host를 필터링하기 위해 LIKE 연산자를 사용할 수 있습니다. 예를 들어,HOST LIKE '%'는HOST ANY와 같으며,HOST LIKE '%.mysite.com'은mysite.com도메인에 속한 모든 호스트를 필터링합니다.
호스트를 지정하는 또 다른 방법은 사용자 이름 뒤에 @ 구문을 사용하는 것입니다. 예:
CREATE USER mira@'127.0.0.1'—HOST IP구문과 동일합니다.CREATE USER mira@'localhost'—HOST LOCAL구문과 동일합니다.CREATE USER mira@'192.168.%.%'—HOST LIKE구문과 동일합니다.
ClickHouse는 user_name@'address' 전체를 하나의 사용자 이름으로 취급합니다. 따라서 기술적으로는 동일한 user_name에 대해 @ 뒤에 서로 다른 표기를 사용해 여러 사용자를 생성할 수 있습니다. 그러나 이러한 방식은 권장하지 않습니다.
VALID UNTIL 절
인증 방법의 만료 날짜와 필요에 따라 시간을 지정할 수 있습니다. 이 절은 문자열을 인수로 받습니다. datetime에는 YYYY-MM-DD [hh:mm:ss] [timezone] 형식을 사용할 것을 권장합니다. 기본적으로 이 파라미터의 값은 'infinity'입니다.
VALID UNTIL 절은 쿼리에서 인증 방법이 전혀 지정되지 않은 경우를 제외하고, 인증 방법과 함께만 지정할 수 있습니다. 이와 같은 경우에는 VALID UNTIL 절이 기존의 모든 인증 방법에 적용됩니다.
예:
CREATE USER name1 VALID UNTIL '2025-01-01'CREATE USER name1 VALID UNTIL '2025-01-01 12:00:00 UTC'CREATE USER name1 VALID UNTIL 'infinity'CREATE USER name1 VALID UNTIL '2025-01-01 12:00:00 `Asia/Tokyo`'CREATE USER name1 IDENTIFIED WITH plaintext_password BY 'no_expiration', bcrypt_password BY 'expiration_set' VALID UNTIL '2025-01-01''
GRANTEES 절
이 사용자가 GRANT OPTION을 통해 필요한 모든 권한을 부여받았다는 조건에서, 이 사용자로부터 권한(privileges)을 받을 수 있는 사용자 또는 역할을 지정합니다. GRANTEES 절의 옵션은 다음과 같습니다:
user— 이 사용자가 권한을 부여할 수 있는 사용자를 지정합니다.role— 이 사용자가 권한을 부여할 수 있는 역할을 지정합니다.ANY— 이 사용자는 누구에게나 권한을 부여할 수 있습니다. 기본 설정입니다.NONE— 이 사용자는 누구에게도 권한을 부여할 수 없습니다.
EXCEPT 식을 사용하여 특정 사용자나 역할을 제외할 수 있습니다. 예를 들어, CREATE USER user1 GRANTEES ANY EXCEPT user2는 user1에게 일부 권한이 GRANT OPTION과 함께 부여되어 있다면, user2를 제외한 누구에게나 해당 권한을 부여할 수 있음을 의미합니다.
예제
비밀번호 qwerty로 보호되는 mira 사용자 계정을 생성합니다:
mira는 ClickHouse 서버가 실행 중인 호스트에서 클라이언트 애플리케이션을 시작해야 합니다.
사용자 계정 john을 생성하고 해당 계정에 역할을 할당한 뒤, 이 역할들을 기본 역할로 지정하십시오:
john 사용자 계정을 생성하고, 이후 이 사용자에게 부여될 모든 역할을 기본 역할로 설정합니다.
향후 john에게 어떤 역할이 부여되면 자동으로 기본 역할이 됩니다.
사용자 계정 john을 생성하고, 앞으로 부여될 역할 중에서 role1과 role2를 제외한 나머지 모든 역할을 기본 역할로 설정합니다:
john 사용자 계정을 생성하고, 이 계정의 권한을 jack 계정 사용자에게 부여할 수 있도록 설정합니다:
쿼리 파라미터를 사용하여 사용자 계정 john을 생성합니다:
