【clickhouse专栏】新建库角色用户初始化

一、创建新的database

clickhouse创建数据库的语法几乎和其他的关系型数据库是一样的，区别就是clickhouse存在集群cluster和库引擎engine的概念，可以根据需要进行指定。如果没有特殊需求，默认即可。

CREATE  DATABASE  [IF  NOT  EXISTS] db_name [ON CLUSTER cluster]  [ENGINE  =  engine(...)]

在创建数据库的时候，我们首先要确认保存数据库文件的目录，对于clickhouse用户有读写的权限。如果你在安装的时候，没有修改数据库文件目录，默认的目录是/var/lib/clickhouse/。我们可以使用下面的命令，将该目录及其子目录的属主修改为clickhouse用户。

chown clickhouse /var/lib/clickhouse/ -R

完成上面的操作步骤之后，就可以通过clickhouse-client -m --password <你的密码>连接clichouse服务实例，创建数据库的SQL如下：

:) CREATE DATABASE acaidb;

创建数据库完成之后，使用show databases;命令看一下当前的clickhouse，有哪些database。(acaidb是我们自建的，default和system是clickhouse默认创建的database)

:) show databases;

┌─name────┐

│ acaidb  │

│ default │

│ system  │

└─────────┘

二、为default账户增加管理权限

ClickHouse默认创建一个数据库default，默认创建了一个用户default。我们现在针对default用户增加访问管理权限，因为该用户默认情况下是不具备管理员权限的，即：默认情况下，无法使用该用户添加角色、添加用户、以及其他权限管理操作。

所以为了让default用户的管理权限更大一些，我们修改 /etc/clickhouse-server/users.xml 文件，在users-> default标签中，将access_management的注释去掉。（在有些版本中其默认值是0，修改为1）

修改完成配置文件之后，重启clickhouse-server，使用如下命令：

clickhouse  restart

三、创建角色及用户

创建角色

创建一个角色acaidb_rw, 该角色针对数据库acaidb具备读写权限。

CREATE ROLE acaidb_rw;

GRANT SELECT, INSERT, ALTER UPDATE, ALTER DELETE ON acaidb.* TO acaidb_rw;

如果让一个角色只允许select，不允许修改数据，下面的语句就可以。

CREATE ROLE acaidb_read;

GRANT SELECT ON acaidb.* TO acaidb_read;

创建普通账户并赋权

我们分别创建账户reader和writer，然后把只读角色ro分配给reader，把读写角色分配给writer。这样，reader拥有只读权限，writer拥有读写权限。

新建一个数据库用户acai，并设置密码(将下文的<你的密码>替换)。并给用户acai赋予读写权限角色acaidb_rw 。

CREATE USER IF NOT EXISTS acai IDENTIFIED WITH sha256_password BY '<你的密码>';

GRANT acaidb_rw TO acai;

使用下列命令访问clickhouse数据，show databases得到acaidb，说明我们成功了。因为acai用户只能访问acaidb。

# clickhouse-client -m -u acai --password '<你的密码>' --query 'show databases;'

acaidb