我想授予用户对数据库的所有权限,而不使其成为管理员。 我想这样做的原因是,目前 DEV 和 PROD 是同一集群上的不同数据库,所以我不希望用户能够更改生产对象,但它必须能够更改 DEV 上的对象。
我试过了:
grant ALL on database MY_DB to group MY_GROUP;
但它似乎没有给予任何许可。
然后我尝试了:
grant all privileges on schema MY_SCHEMA to group MY_GROUP;
它似乎允许我创建对象但不允许查询\删除该架构上属于其他用户的对象
我可以继续向 MY_SCHEMA 上的用户授予 USAGE 权限,但它会抱怨没有表上的权限...
所以我想我的问题是:是否有任何简单的方法可以将所有权限授予数据库上的用户?
我正在开发 PostgreSQL 8.1.23。
【问题讨论】:
标签: sql postgresql ddl privileges grant
必须在连接到正确的数据库集群时执行所有命令。确保它。
角色是数据库集群的对象。同一集群的所有数据库共享一组定义的角色。根据数据库/模式/表等授予/撤销权限。
显然,角色需要访问数据库。默认情况下授予PUBLIC。其他:
GRANT CONNECT ON DATABASE my_db TO my_user;
Postgres 14 添加了预定义的非登录角色pg_read_all_data / pg_write_all_data。
他们拥有所有表、视图和序列的SELECT/INSERT、UPDATE、DELETE权限。加上USAGE 模式。我们可以GRANT 成为这些角色的成员:
GRANT pg_read_all_data TO my_user;
GRANT pg_write_all_data TO my_user;
这涵盖了所有基本的 DML 命令(但不包括 DDL,也不包括一些特殊命令,如 TRUNCATE 或 EXECUTE 函数权限!)。 The manual:
pg_read_all_data读取所有数据(表、视图、序列),好像拥有
SELECT权限 在这些对象上,以及对所有模式的USAGE权限,即使没有 明确地拥有它。此角色没有角色属性BYPASSRLS设置。如果正在使用 RLS,管理员可能希望 将BYPASSRLS设置为该角色是GRANTed 的角色。
pg_write_all_data写入所有数据(表、视图、序列),好像有
INSERT,UPDATE和DELETE对这些对象的权限,以及USAGE对这些对象的权限 所有模式,即使没有明确的。这个角色不 设置角色属性BYPASSRLS。如果正在使用 RLS,则 管理员可能希望在该角色所在的角色上设置BYPASSRLSGRANTed to。
必须在连接到正确的数据库时执行命令。确保它。
角色需要(至少)schema 上的USAGE 权限。同样,如果授予PUBLIC,您将获得保障。其他:
GRANT USAGE ON SCHEMA public TO my_user;
或在所有自定义架构上授予USAGE:
DO
$$
BEGIN
-- RAISE NOTICE '%', ( -- use instead of EXECUTE to see generated commands
EXECUTE (
SELECT string_agg(format('GRANT USAGE ON SCHEMA %I TO my_user', nspname), '; ')
FROM pg_namespace
WHERE nspname <> 'information_schema' -- exclude information schema and ...
AND nspname NOT LIKE 'pg\_%' -- ... system schemas
);
END
$$;
然后,所有表的所有权限(需要 Postgres 9.0 或更高版本)。
不要忘记序列(如果有的话):
GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO my_user;
GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO my_user;
或者,您可以使用 "Grant Wizard" of pgAdmin 4 来使用 GUI。
这包括现有对象的权限。要同时涵盖未来的对象,请设置DEFAULT PRIVILEGES。见:
还有一些其他的对象,the manual for GRANT 有完整的列表。从 Postgres 14 开始:
对数据库对象(表、列、视图、外部表、序列、数据库、外部数据包装器、外部服务器、函数、过程、过程语言、模式或表空间)的特权
但其余部分很少需要。更多详情:
【讨论】:
\c my_db
GRANT ALL PRIVILEGES ON DATABASE "my_db" to my_user;
【讨论】:
ON DATABASE 听起来很强大,但并没有多大作用。这只是一个开始。它不对包含的对象授予任何特权。
在 PostgreSQL 9.0+ 中,您将执行以下操作:
GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA MY_SCHEMA TO MY_GROUP;
GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA MY_SCHEMA TO MY_GROUP;
如果您也想为新创建的关系启用此功能,请设置默认权限:
ALTER DEFAULT PRIVILEGES IN SCHEMA MY_SCHEMA
GRANT ALL PRIVILEGES ON TABLES TO MY_GROUP;
ALTER DEFAULT PRIVILEGES IN SCHEMA MY_SCHEMA
GRANT ALL PRIVILEGES ON SEQUENCES TO MY_GROUP;
但是,看到您使用的是 8.1,您必须自己编写代码:
CREATE FUNCTION grant_all_in_schema (schname name, grant_to name) RETURNS integer AS $$
DECLARE
rel RECORD;
BEGIN
FOR rel IN
SELECT c.relname
FROM pg_class c
JOIN pg_namespace s ON c.namespace = s.oid
WHERE s.nspname = schname
LOOP
EXECUTE 'GRANT ALL PRIVILEGES ON ' || quote_ident(schname) || '.' || rel.relname || ' TO ' || quote_ident(grant_to);
END LOOP;
RETURN 1;
END; $$ LANGUAGE plpgsql STRICT;
REVOKE ALL ON FUNCTION grant_all_in_schema(name, name) FROM PUBLIC;
这将设置所有关系的权限:表、视图、索引、序列等。如果你想限制它,请过滤pg_class.relkind。详情请见pg_class docs。
您应该以超级用户身份运行此函数,并根据您的应用程序的需要定期运行此函数。一种选择是将其打包到每天或每小时执行的 cron 作业中。
【讨论】:
【讨论】:
在 PostgreSQL 12 及更高版本中,可以将数据库中表的所有权限授予角色/用户/帐户。
语法是:
GRANT ALL ON table_name TO role_name;
如果您想将其授予数据库中的所有表,则语法为:
GRANT ALL ON ALL TABLES TO role_name;
如果您想将其授予数据库中某个模式的所有表,则语法为:
GRANT ALL ON ALL TABLES IN SCHEMA schema_name TO role_name;
注意:请记住,您需要先选择数据库,然后才能将其权限授予用户。
就是这样
我希望这会有所帮助
【讨论】:
GRANT USAGE ON ALL TABLES IN SCHEMA schema_name TO role_name 导致没有IN SCHEMA schema_name 的错误:ERROR: 42601: syntax error at or near "TO"。
将 SCHEMA 架构名称授予用户;
【讨论】:
GRANT ALL ON SCHEMA schema_name TO user_name;
【讨论】: