无法授予对现有表的访问权限

Question

我未能添加新的数据库角色，该角色将对特定数据库中的表拥有SELECT 权限。

我的问题是该角色无法从现有数据库中的表中SELECT。

这是我失败的测试用例（编写后可以安全地复制粘贴到/tmp/test.sh 并执行）：

# --- cleanup objects, if any
psql -U postgres -c "REVOKE SELECT ON ALL SEQUENCES IN SCHEMA public FROM db_reader"
psql -U postgres -c "REVOKE SELECT ON ALL TABLES IN SCHEMA public FROM db_reader"
psql -U postgres -c "REVOKE USAGE ON SCHEMA public FROM db_reader"
psql -U postgres -c "DROP ROLE IF EXISTS db_reader"
psql -U postgres -c "DROP DATABASE IF EXISTS some_existing_db"
# --- test
psql -U postgres -c "CREATE DATABASE some_existing_db"
psql -U postgres some_existing_db -c "CREATE TABLE cats (name varchar(10))"
psql -U postgres some_existing_db -c "INSERT INTO cats (name) VALUES ('a'), ('b')"
psql -U postgres -c "CREATE ROLE db_reader WITH login"
psql -U postgres -c 'GRANT SELECT ON ALL SEQUENCES IN SCHEMA public TO db_reader'
psql -U postgres -c 'GRANT SELECT ON ALL TABLES IN SCHEMA public TO db_reader'
psql -U postgres -c 'GRANT USAGE ON SCHEMA public TO db_reader'
psql -U db_reader some_existing_db -c "SELECT COUNT(1) FROM cats"

看起来我在这里遗漏了一些非常令人尴尬的东西，因为上面失败并出现以下错误：

ERROR:  permission denied for relation cats

为什么？

Answer 1

您错过了数据库在逻辑上是分开的。

您的GRANT 语句在数据库postgres 中执行（如果您未指定数据库名称，psql 将尝试连接到与数据库用户同名的数据库）。

因此，这些授权的影响仅限于您所连接的数据库。

您必须将some_existing_db 添加到您授予db_reader 权限的psql 调用中。