Tôi muốn tạo một người dùng trong PostgreSQL chỉ có thể thực hiện CHỌN từ một cơ sở dữ liệu cụ thể. Trong MySQL, lệnh sẽ là:
GRANT SELECT ON mydb.* TO 'xxx'@'%' IDENTIFIED BY 'yyy';Lệnh hoặc chuỗi lệnh tương đương trong PostgreSQL là gì?
Tôi đã thử ...
postgres=# CREATE ROLE xxx LOGIN PASSWORD 'yyy';
postgres=# GRANT SELECT ON DATABASE mydb TO xxx;
Nhưng có vẻ như những thứ duy nhất bạn có thể cấp trên cơ sở dữ liệu là CREATE, CONNECT, TEMPORARY và TEMP.
Câu trả lời:
Nếu bạn chỉ cấp CONNECT cho cơ sở dữ liệu, người dùng có thể kết nối nhưng không có đặc quyền nào khác. Bạn phải cấp USAGE trên các không gian tên (lược đồ) và CHỌN trên các bảng và các khung nhìn riêng lẻ như vậy:
GRANT CONNECT ON DATABASE mydb TO xxx;
-- This assumes you're actually connected to mydb..
GRANT USAGE ON SCHEMA public TO xxx;
GRANT SELECT ON mytable TO xxx;Trong các phiên bản mới nhất của PostgreSQL, bạn có thể cấp quyền trên tất cả các bảng / lượt xem / vv trong lược đồ bằng một lệnh duy nhất thay vì phải gõ từng cái một:
GRANT SELECT ON ALL TABLES IN SCHEMA public TO xxx;Điều này chỉ ảnh hưởng đến các bảng đã được tạo. Mạnh mẽ hơn, bạn có thể tự động có các vai trò mặc định được gán cho các đối tượng mới trong tương lai:
ALTER DEFAULT PRIVILEGES IN SCHEMA public
GRANT SELECT ON TABLES TO xxx;Lưu ý rằng theo mặc định, điều này sẽ chỉ ảnh hưởng đến các đối tượng (bảng) được tạo bởi người dùng đã ban hành lệnh này: mặc dù nó cũng có thể được đặt trên bất kỳ vai trò nào mà người dùng phát hành là thành viên. Tuy nhiên, bạn không nhận các đặc quyền mặc định cho tất cả các vai trò mà bạn là thành viên khi tạo đối tượng mới ... vì vậy vẫn còn một số vấn đề xung quanh. Nếu bạn áp dụng cách tiếp cận mà cơ sở dữ liệu có vai trò sở hữu và các thay đổi lược đồ được thực hiện như vai trò sở hữu đó, thì bạn nên gán các đặc quyền mặc định cho vai trò sở hữu đó. IMHO điều này hơi khó hiểu và bạn có thể cần thử nghiệm để đưa ra quy trình làm việc chức năng.
Để tránh các lỗi trong các thay đổi dài, nhiều bảng, nên sử dụng quy trình 'tự động' sau đây để tạo yêu cầu GRANT SELECTcho mỗi bảng / chế độ xem:
SELECT 'GRANT SELECT ON ' || relname || ' TO xxx;'
FROM pg_class JOIN pg_namespace ON pg_namespace.oid = pg_class.relnamespace
WHERE nspname = 'public' AND relkind IN ('r', 'v', 'S');Điều này sẽ xuất các lệnh GRANT có liên quan thành GRANT CHỌN trên tất cả các bảng, dạng xem và trình tự ở chế độ công khai, cho tình yêu sao chép-dán. Đương nhiên, điều này sẽ chỉ được áp dụng cho các bảng đã được tạo.
REVOKE CREATE ON SCHEMA public FROM PUBLIC;. Không có điều đó, người dùng "chỉ đọc" không thể sửa đổi các bảng hiện có, nhưng có thể tạo các bảng mới trong lược đồ và thêm / xóa dữ liệu khỏi các bảng đó.
psql mydbkhác, hầu hết các thao tác này sẽ không xảy ra. Cá nhân tôi đã mất một khoảng thời gian đáng kể để tự mình tìm ra nó. Hy vọng điều này sẽ giúp được ai đó.
Xin lưu ý rằng PostgreSQL 9.0 (ngày hôm nay trong bản thử nghiệm beta) sẽ có một cách đơn giản để làm điều đó :
test=> GRANT SELECT ON ALL TABLES IN SCHEMA public TO joeuser;Tập lệnh tạo người dùng chỉ đọc:
CREATE ROLE Read_Only_User WITH LOGIN PASSWORD 'Test1234'
NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE NOREPLICATION VALID UNTIL 'infinity';Gán quyền cho người dùng chỉ đọc này:
GRANT CONNECT ON DATABASE YourDatabaseName TO Read_Only_User;
GRANT USAGE ON SCHEMA public TO Read_Only_User;
GRANT SELECT ON ALL TABLES IN SCHEMA public TO Read_Only_User;
GRANT SELECT ON ALL SEQUENCES IN SCHEMA public TO Read_Only_User;Gán quyền để đọc tất cả các bảng mới được tạo trong tương lai
ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT ON TABLES TO Read_Only_User;ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT ON TABLES TO Read_Only_User; cũng sẽ cho phép đọc tất cả các bảng được tạo trong cùng một DB trong tương lai.
INSERTs.
GRANT EXECUTE ON ALL FUNCTIONS IN SCHEMA schema_name TO Read_Only_User;
GRANT ALL ON ALL SEQUENCES IN SCHEMA schema_name TO Read_Only_User?
Đây là cách tốt nhất mà tôi đã tìm thấy để thêm người dùng chỉ đọc (sử dụng PostgreSQL 9.0 trở lên):
$ sudo -upostgres psql postgres
postgres=# CREATE ROLE readonly WITH LOGIN ENCRYPTED PASSWORD '<USE_A_NICE_STRONG_PASSWORD_PLEASE';
postgres=# GRANT SELECT ON ALL TABLES IN SCHEMA public TO readonly;Sau đó đăng nhập vào tất cả các máy liên quan (master + read-Slave (s) / hot-chờ (s), v.v.) và chạy:
$ echo "hostssl <PUT_DBNAME_HERE> <PUT_READONLY_USERNAME_HERE> 0.0.0.0/0 md5" | sudo tee -a /etc/postgresql/9.2/main/pg_hba.conf
$ sudo service postgresql reloadTheo mặc định, người dùng mới sẽ có quyền tạo bảng. Nếu bạn đang dự định tạo một người dùng chỉ đọc, đây có thể không phải là điều bạn muốn.
Để tạo một người dùng chỉ đọc thực sự với PostgreSQL 9.0+, hãy chạy các bước sau:
# This will prevent default users from creating tables
REVOKE CREATE ON SCHEMA public FROM public;
# If you want to grant a write user permission to create tables
# note that superusers will always be able to create tables anyway
GRANT CREATE ON SCHEMA public to writeuser;
# Now create the read-only user
CREATE ROLE readonlyuser WITH LOGIN ENCRYPTED PASSWORD 'strongpassword';
GRANT SELECT ON ALL TABLES IN SCHEMA public TO readonlyuser;Nếu người dùng chỉ đọc của bạn không có quyền liệt kê các bảng (nghĩa là \dkhông trả lại kết quả), thì đó có thể là do bạn không có USAGEquyền cho lược đồ. USAGElà một quyền cho phép người dùng thực sự sử dụng các quyền mà họ đã được chỉ định. Điểm này là gì? Tôi không chắc. Sửa chữa:
# You can either grant USAGE to everyone
GRANT USAGE ON SCHEMA public TO public;
# Or grant it just to your read only user
GRANT USAGE ON SCHEMA public TO readonlyuser;Tôi đã tạo một kịch bản thuận tiện cho việc đó; pg_grant_read_to_db.sh . Kịch bản lệnh này cấp các đặc quyền chỉ đọc cho một vai trò được chỉ định trên tất cả các bảng, dạng xem và chuỗi trong lược đồ cơ sở dữ liệu và đặt chúng làm mặc định.
Tôi đọc máng tất cả các giải pháp có thể, tất cả đều ổn, nếu bạn nhớ kết nối với cơ sở dữ liệu trước khi bạn cấp các thứ;) Dù sao cũng cảm ơn tất cả các giải pháp khác !!!
user@server:~$ sudo su - postgrestạo người dùng psql:
postgres@server:~$ createuser --interactive
Enter name of role to add: readonly
Shall the new role be a superuser? (y/n) n
Shall the new role be allowed to create databases? (y/n) n
Shall the new role be allowed to create more new roles? (y/n) nbắt đầu psql cli và đặt mật khẩu cho người dùng đã tạo:
postgres@server:~$ psql
psql (10.6 (Ubuntu 10.6-0ubuntu0.18.04.1), server 9.5.14)
Type "help" for help.
postgres=# alter user readonly with password 'readonly';
ALTER ROLEkết nối với cơ sở dữ liệu đích:
postgres=# \c target_database
psql (10.6 (Ubuntu 10.6-0ubuntu0.18.04.1), server 9.5.14)
You are now connected to database "target_database" as user "postgres".cấp tất cả các đặc quyền cần thiết:
target_database=# GRANT CONNECT ON DATABASE target_database TO readonly;
GRANT
target_database=# GRANT USAGE ON SCHEMA public TO readonly ;
GRANT
target_database=# GRANT SELECT ON ALL TABLES IN SCHEMA public TO readonly ;
GRANTthay đổi đặc quyền mặc định cho mục tiêu db shema công cộng:
target_database=# ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT ON TABLES TO readonly;
ALTER DEFAULT PRIVILEGESNếu cơ sở dữ liệu của bạn nằm trong lược đồ công khai, thật dễ dàng (điều này giả sử bạn đã tạo readonlyuser)
db=> GRANT SELECT ON ALL TABLES IN SCHEMA public to readonlyuser;
GRANT
db=> GRANT CONNECT ON DATABASE mydatabase to readonlyuser;
GRANT
db=> GRANT SELECT ON ALL SEQUENCES IN SCHEMA public to readonlyuser;
GRANTNếu cơ sở dữ liệu của bạn đang sử dụng customschema, hãy thực hiện như trên nhưng thêm một lệnh nữa:
db=> ALTER USER readonlyuser SET search_path=customschema, public;
ALTER ROLECách làm không đơn giản sẽ là cấp quyền chọn trên mỗi bảng của cơ sở dữ liệu:
postgres=# grant select on db_name.table_name to read_only_user;Bạn có thể tự động hóa điều đó bằng cách tạo các báo cáo cấp của bạn từ siêu dữ liệu cơ sở dữ liệu.
CREATE USER username SUPERUSER password 'userpass';
ALTER USER username set default_transaction_read_only = on;Lấy từ một liên kết được đăng để phản hồi lại liên kết của despesz .
Postgres 9.x dường như có khả năng làm những gì được yêu cầu. Xem đoạn Grant On Database Object của:
http://www.postgresql.org/docs/civerse/interactive/sql-grant.html
Trong đó có ghi: "Ngoài ra còn có tùy chọn cấp đặc quyền cho tất cả các đối tượng cùng loại trong một hoặc nhiều lược đồ. Chức năng này hiện chỉ được hỗ trợ cho các bảng, trình tự và hàm (nhưng lưu ý rằng TABLES được coi là bao gồm các khung nhìn và bảng nước ngoài). "
Trang này cũng thảo luận về việc sử dụng ROLEs và RIÊNG TƯ gọi là "TẤT CẢ CÁC ƯU ĐÃI".
Cũng có mặt là thông tin về cách các chức năng GRANT so với các tiêu chuẩn SQL.