And*_*e M 3 postgresql permissions access-control postgresql-9.5
我正在创建一个 pre-prod Postgres 数据库,并希望确保访问用户具有有限的访问权限。
我想以这样的方式设置表的访问用户不能CREATE,DROP或ALTER对象。目前,我可以看到将所有权更改为另一个用户的唯一方法,例如postgres然后以某种方式仅授予所需的权限:
ALTER TABLE mytable SET OWNER TO postgres;
REVOKE connect ON DATABASE mydatabase FROM PUBLIC;
GRANT USAGE, SELECT, UPDATE ON ALL TABLES IN SCHEMA public TO dbuser;
GRANT connect ON DATABASE mydatabase TO dbuser;
问题是当我执行上述操作SELECT时,当我与应用了授权的用户连接时,我无法做一个简单的事情。例如:
select * from mytable;
产量:
Run Code Online (Sandbox Code Playgroud)ERROR: permission denied for relation mytable
如何做到这一点?
此外,我应该使用public?以外的命名模式吗?
USAGE表没有特权。如果您尝试您的GRANT命令,您会看到一条错误消息。
您也需要对schema 的权限。这里USAGE是对的。但是你肯定要撤销CREATE。
所有权对于那些序列拥有由serial列会自动更改为新表的所有者。但是您需要手动重新拥有任何其他序列。或者您使用REASSIGN OWNED.
您可能也需要对序列的权限。(如果您授予INSERT或希望它们使用currval()或nextval()运行)。这些当前 (v9.6) 与表权限分开。
我强烈建议在组角色中捆绑权限,并将该角色的成员资格授予/撤销选定的用户角色。
作为超级用户,类似这样的事情:
REVOKE ALL ON DATABASE mydatabase FROM PUBLIC;
REVOKE ALL ON SCHEMA public FROM PUBLIC; -- you may or may not want this
-- REVOKE ALL ON ALL TABLES IN SCHEMA public FROM PUBLIC; -- only for more existing permissions
-- REVOKE ALL ON ALL SEQUENCES IN SCHEMA public FROM PUBLIC; -- only for more existing permissions
ALTER TABLE mytable OWNER TO postgres; -- or some admin role. best keep the superuser out of this
-- more tables? or even:
-- REASSIGN OWNED BY dbuser TO postgres; -- to reassign *all* owned objects the current DB
CREATE ROLE usr_permissions;
GRANT usr_permissions TO dbuser;
GRANT CONNECT ON DATABASE mydatabase TO usr_permissions;
GRANT USAGE ON SCHEMA public TO usr_permissions; -- if you revoked from PUBLIC
GRANT SELECT, UPDATE ON ALL TABLES IN SCHEMA public TO usr_permissions; -- DELETE, INSERT?
GRANT USAGE ON ALL SEQUENCES IN SCHEMA public TO usr_permissions; -- if you also granted INSERT
有关的:
此外,我应该使用 public 以外的命名模式吗?
架构public并没有什么特别之处。它只是碰巧在默认情况下安装,PUBLIC并在默认情况下具有权限和预设search_path。一些数据库管理员甚至将其删除。您可以像使用任何其他架构一样使用它。视整体情况而定。有关的:
| 归档时间: |
|
| 查看次数: |
9854 次 |
| 最近记录: |