Saltar al contenido principal
Esta guía muestra dos formas de gestionar usuarios de base de datos: desde la Consola SQL y directamente en la base de datos.

Autenticación sin contraseña en Consola SQL

Los usuarios de Consola SQL se crean para cada sesión y se autentican mediante certificados X.509 que se rotan automáticamente. El usuario se elimina cuando finaliza la sesión. Al generar listas de acceso para auditorías, vaya a la pestaña Settings del servicio en la consola y tenga en cuenta el acceso a Consola SQL, además de los usuarios de base de datos que existen en la base de datos. Si hay roles personalizados configurados, el acceso del usuario aparece en el rol cuyo nombre termina con el username del usuario.

Usuarios y roles de la Consola SQL

Los roles básicos de la Consola SQL pueden asignarse a usuarios con permisos Service Read Only y Service Admin. Para obtener más información, consulta Manage SQL Console Role Assignments. En esta guía se muestra cómo crear un rol personalizado para un usuario de la Consola SQL. Para crear un rol personalizado para un usuario de la Consola SQL y asignarle un rol general, ejecuta los siguientes comandos. La dirección de correo electrónico debe coincidir con la dirección de correo electrónico del usuario en la consola.
1

Crear database_developer y otorgar permisos

Crea el rol database_developer y otórgale permisos SHOW, CREATE, ALTER y DELETE.
2

Crear el rol de usuario de la Consola SQL

Crea un rol para el usuario de la Consola SQL my.user@domain.com y asígnale el rol database_developer.
3

El usuario recibe el nuevo rol cuando usa la Consola SQL

Al usuario se le asignará el rol asociado a su dirección de correo electrónico cada vez que use la Consola SQL.

Autenticación de la base de datos

ID y contraseña del usuario de base de datos

Use el método SHA256_hash al crear cuentas de usuario para proteger las contraseñas. Las contraseñas de la base de datos de ClickHouse deben tener un mínimo de 12 caracteres y cumplir los requisitos de complejidad: letras mayúsculas, letras minúsculas, números y/o caracteres especiales.
Genere contraseñas de forma seguraDado que los usuarios con privilegios inferiores a los de administrador no pueden establecer su propia contraseña, pida al usuario que genere el hash de su contraseña con un generador como este antes de proporcionárselo al administrador para configurar la cuenta.

Usuario de base de datos con autenticación SSH

Para configurar la autenticación SSH para un usuario de base de datos de ClickHouse Cloud.
  1. Usa ssh-keygen para crear un par de claves.
  2. Usa la clave pública para crear el usuario.
  3. Asigna roles y/o permisos al usuario.
  4. Usa la clave privada para autenticarte con el servicio.
Para obtener una guía detallada con ejemplos, consulta Cómo conectarse a ClickHouse Cloud usando claves SSH en nuestra base de conocimientos.

Permisos de la base de datos

Configure lo siguiente en los servicios y las bases de datos mediante la sentencia SQL GRANT.
  • Los roles de base de datos son aditivos. Esto significa que, si un usuario es miembro de dos roles, tendrá el nivel de acceso más alto concedido por cualquiera de ellos. No pierde acceso al añadir roles.
  • Los roles de base de datos pueden concederse a otros roles, lo que da lugar a una estructura jerárquica. Los roles heredan todos los permisos de aquellos roles de los que son miembros.
  • Los roles de base de datos son únicos para cada servicio y pueden aplicarse a varias bases de datos dentro del mismo servicio.
La siguiente ilustración muestra las distintas formas en que se pueden conceder permisos a un usuario.

Configuración inicial

Las bases de datos tienen una cuenta llamada default que se añade automáticamente y recibe default_role al crear el servicio. Al usuario que crea el servicio se le muestra la contraseña aleatoria generada automáticamente que se asigna a la cuenta default cuando se crea el servicio. La contraseña no vuelve a mostrarse después de la configuración inicial, pero cualquier usuario con permisos de Service Admin en la consola puede cambiarla más adelante. Esta cuenta, o una cuenta con privilegios de Service Admin en la consola, puede configurar usuarios de base de datos y roles adicionales en cualquier momento.
Para cambiar la contraseña asignada a la cuenta default en la consola, ve al menú Services de la izquierda, accede al servicio, ve a la pestaña Settings y haz clic en el botón Reset password.
Recomendamos crear una nueva cuenta de usuario asociada a una persona y otorgarle default_role. Así, las actividades realizadas por los usuarios quedan asociadas a sus ID de usuario y la cuenta default se reserva para actividades de tipo break-glass.
Puede usar un generador de hash SHA256 o una función como hashlib en Python para convertir una contraseña de 12 o más caracteres con la complejidad adecuada en una cadena SHA256 y proporcionársela al administrador del sistema como contraseña. Esto garantiza que el administrador no vea ni manipule contraseñas en texto sin formato.

Listados de acceso a bases de datos con usuarios de la consola SQL

El siguiente proceso puede utilizarse para generar un listado completo de acceso en la consola SQL y en las bases de datos de su organización.
1

Obtener una lista de todos los permisos de la base de datos

Ejecute las siguientes consultas para obtener una lista de todos los permisos de la base de datos.
2

Asociar la lista de permisos a los usuarios de Console con acceso a la consola SQL

Asocie esta lista con los usuarios de Console que tienen acceso a la consola SQL.a. Vaya a Console.b. Seleccione el servicio correspondiente.c. Seleccione Configuración a la izquierda.d. Desplácese hasta la sección de acceso a la consola SQL.e. Haga clic en el enlace del número de usuarios con acceso a la base de datos There are # users with access to this service. para ver el listado de usuarios.

Usuarios del warehouse

Los usuarios del warehouse se comparten entre los servicios del mismo warehouse. Para obtener más información, consulta los controles de acceso del warehouse.
Última modificación el 29 de junio de 2026