Privileges

Privileges 是 Dory 针对 ClickHouse 的权限管理界面。你可以在 UI 中管理用户、角色、全局权限，以及数据库 / 表 / 视图级授权，减少手写 CREATE USER、CREATE ROLE、GRANT 和 REVOKE 的成本。

该功能面向 ClickHouse。使用前请确保当前连接账号具备管理用户、角色和权限的能力。

可以做什么

• 创建、编辑、删除 ClickHouse 用户。
• 创建、编辑、删除角色。
• 为用户授予角色并设置默认角色。
• 配置允许访问的 Host。
• 添加或撤销全局权限。
• 添加或撤销数据库、表、视图级权限。
• 在检测到集群时，通过 ON CLUSTER 应用操作。

用户管理

在 Users 标签中，你可以查看用户、默认角色、已授予角色，并执行编辑或删除。

创建用户时常见字段：

• 用户名
• 密码
• 允许的主机
• 授予角色
• 默认角色
• 是否应用到集群

如果密码留空，ClickHouse 侧可能创建无密码用户或移除密码，具体行为取决于操作类型和当前配置。生产环境中应明确密码和允许访问来源。

角色管理

在 Roles 标签中，你可以创建角色，并查看角色拥有的权限数量和授予对象。

推荐按职责创建角色，例如：

• readonly
• analyst
• ops_monitor
• admin_limited

然后把权限授予角色，再把角色授予用户。这样比直接给每个用户单独授权更容易维护。

权限明细

进入用户或角色详情后，可以管理两类权限：

• 全局权限：作用于全局范围。
• 数据权限：作用于指定数据库、表或视图。

授予权限前请确认范围。生产环境中建议使用最小权限原则，只授予完成任务所需的最小访问能力。

集群操作

如果 ClickHouse 配置了集群，Dory 会尝试加载集群信息，并在创建用户、创建角色或授权时提供 On Cluster 选项。

如果未检测到集群配置，操作会回退到当前节点。

安全建议

• 不要使用共享管理员账号作为日常分析账号。
• 把只读分析、监控排查和权限管理拆成不同角色。
• 定期审查用户默认角色和全局权限。
• 删除用户或角色前确认没有团队流程依赖它。
• 重要变更前先在测试环境验证授权效果。

关联页面

• ClickHouse
• Connections
• 认证配置

这篇文档有帮助吗？

有帮助没帮助