PostgreSQL用户与角色简述

最新推荐文章于 2024-05-21 16:20:27 发布
最新推荐文章于 2024-05-21 16:20:27 发布
阅读量741 收藏 17
点赞数 24
分类专栏: # Postgres 文章标签: postgresql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Loiterer_Y/article/details/139080562
版权

简述

  • PostgreSQL通过角色(role)来控制数据库的访问权限。角色可以拥有数据库对象(比如表、函数等),并允许将这些对象的权限授予其他角色,从而实现对象访问的控制。
  • 角色(role)包含了两种概念:①具有登录权限的角色称为用户(user);②包含其他成员的角色称为组(group)。
    在这里插入图片描述

用户和组

  • 数据库使用过程中,DBA通常会创建多个用户,并根据用户的实际情况赋予权限。为了便于权限管理,可创建角色,然后将角色赋予用户。通过角色权限的授予和撤销操作,批量控制用户权限。此时的角色充当的是组(group)的概念,用户加入到这个组便拥有了这个组的权限。
  • PostgreSQL不允许两个角色互为授权。
  • PUBLIC为PostgreSQL中的特殊角色,不能将其设置为任何组的成员。

权限与继承

  • 在SQL标准中,用户和角色存在明确的差异,用户不会自动继承权限,而角色会继承权限。
  • PostgreSQL通过INHERITNOINHERIT属性来实现上述标准,只需为角色设置INHERIT属性,为用户设置NOINHERIT属性。为了兼容8.1之前的版本属性,PostgreSQL默认为所有的角色设置了INHERIT属性,因此用户默认会自动继承它所在组的权限。
  • 只有数据库的对象上的普通权限可以被继承,角色的LOGINSUPERUSERCREATEDBCREATEROLE权限被认为是特殊权限,不会被继承。

SET ROLE命令

  • 用户在登录后,可使用SET ROLE命令,让当前会话临时拥有某个角色的权限;
  • 执行该命令后,此时会话将拥有角色的权限,而不是登录用户的权限;
  • 会话过程创建的数据库对象将归角色所有,而不是登录用户所有。

案例说明

创建三个角色db_usernet_managersys_manager

-- 创建角色,并赋予登录权限,此时的db_user就可以用于登录数据库。
CREATE ROLE db_user LOGIN INHERIT;
-- 创建角色,并赋予schema中所有表的查询权限。
CREATE ROLE net_manager NOINHERIT;
GRANT SELECT ON ALL TABLES IN SCHEMA public TO net_manager;
-- 创建角色,并赋予schema中所有表的插入权限。
CREATE ROLE sys_manager NOINHERIT;
GRANT INSERT ON ALL TABLES IN SCHEMA public TO net_manager;
-- 将net_mananger权限授予db_user
GRANT net_manager to db_user;
-- 将sys_mananger权限授予sys_mananger
GRANT sys_manager to net_manager;

使用db_user登录后,数据库会话会同时拥有db_usernet_manager的权限,但不具备sys_manager的权限,即只能执行查询操作,无法执行插入操作。
虽然db_user间接成为了sys_manager的成员,但由于net_manager获得的成员资格具有NOINHERIT属性,不会自动继承权限。

-- 执行下述指令,会话将拥有net_manager的权限,但不再具备db_user权限,同时也无法继承sys_manager的特权
SET ROLE net_manager
-- 执行下述指令中的任意一个,可将会话权限恢复至初始状态
SET ROLE db_user;
SET ROLE NONE;
RESET ROLE;

角色设置的指令

创建角色

create role xxxx;

删除角色

drop role xxxx;

删除角色前需要删除角色拥有的对象,或将对象的所有权赋予其他角色,同时还需要撤销授予该角色的权限,否则删除会报错。

为角色赋予属性

属性名说明
LOGIN具备LOGIN属性的角色才能连接数据库
SUPERUSER超级用户属性,请谨慎使用或不使用 。只有超级用户才能创建、修改其他超级用户
CREATEDB除超级用户外,只有拥有该属性的角色才能创建数据库
CREATEROLE除超级用户外,只有拥有该属性的角色才能创建、修改、删除其他角色,并为这些角色授权或撤销权限。该特权无法管控超级用户
REPLICATION启动流复制权限,拥有该属性的角色必须同时拥有LOGIN属性
password为角色设置密码,只有当角色用于连接数据库时,该属性才有意义。可追加配置valid until设置有效期
-- 创建角色并赋予属性
CREATE ROLE xxx WITH LOGIN SUPERUSER CREATEDB CREATEROLE REPLICATION PASSWORD 'xxxx' VALID UNTIL '2099-01-01'
-- 修改用户属性,移除其创建角色的属性
ALTER ROLE xxx NOCREATEROLE;

为角色授权

PostreSQL中可使用GRANT语句为角色授权,以表为例,语法如下:

-- privilege_list 可以是SELECT、INSERT、UPDATE、DELETE、TRUNCATE
-- WITH GRANT OPTION意味着被授权的角色可以将该权限再授权其他角色。
-- 将某张表的XX权限赋予某个角色
GRANT privilege_list | ALL ON [TABLE] table_name TO role_name WITH GRANT OPTION;
-- 将某个schema下所有表的XX权限赋予角色
GRANT privilege_list | ALL ON ALL TABLES IN SCHEMA schema_name TO role_name;

撤销角色授权

PostreSQL中可使用REVOKE语句撤销角色,以表为例,语法如下:

-- privilege_list 可以是SELECT、INSERT、UPDATE、DELETE、TRUNCATE
-- 撤销某张表的XX权限
REVOKE privilege_list | ALL ON TABLE table_name FROM role_name;
-- 撤销某个schema下所有表的XX权限
REVOKE privilege_list | ALL ON ALL TABLES IN SCHEMA schema_name FROM role_name;
不会画画的画师
关注
  • 24
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
postgresql_role:安装PostgreSQL角色
05-16
PostgreSQL Ansible角色 这个Ansible角色在Debian(9,10)或RHEL(7,8)环境中安装PostgreSQL(9.6到12)服务器。 入门 这些说明将为您提供Ansible剧本角色的副本。 一旦启动,它将在Debian或RHEL系统中安装服务器。 先决条件 已安装Ansible> = 2.9.xx版本。 库存目的地应为Debian或RHEL环境。 出于测试目的,使用Docker作为驱动程序的Molecule 。 推荐使用Pipenv 2018.11.26和Python 3。 正在安装 创建或添加到您的角色依赖文件中(例如,requirements.yml): - src: idealista.postgresql_role version: 1.4.0 name: postgresql 使用ansible-galaxy命令安装角色: a
ansible-postgresql:部署PostgreSQL软件的角色
05-28
enix.postgresql 使用在UNIX主机上部署和配置上游发行版的。 要求 支持的目标: Debian 8“ Jessie” Debian 9“拉伸” 角色变量 几乎所有可用的默认值都预加载了这些角色。 您可以在主机/组变量,清单或播放中覆盖每个变量。 有关配置的帮助,请参见defaults/main.yml注释的默认defaults/main.yml 。 postgresql__version要安装的postgresql分支。 默认为10。可用:9、10、11、12。 postgresql__extensions要安装的postgresql扩展软件包。 postgresql__global_config_options设置到postgresql.conf中的全局配置选项。 常见的选择是: postgresql__global_config_options: -
postgresql12主从
TimeRovers的博客
01-15 1760
https://www.cnblogs.com/ExMan/p/11247163.html
postgresql用户角色
Java_Fly1的博客
09-24 886
使用角色 user1 登录之后,数据库会话将会拥有 user1 自身的特权和 net_admins 所有的特权,在删除角色之前,需要删除它所拥有的对象,或者将这些对。权限的角色称为用户,包含其他成员(也是角色)的角色称为组(group)。除了授权表的访问权限之外,GRANT 语句还支持字段、视图、序列、数据库、函数、过程、角色可以拥有数据库对象(例如表和函数),并且可以将这些对象上的权限授予其他角色,由于角色可以拥有数据库中的对象,也可以拥有访问其他对象的权限,删除角色通常不仅仅。
postgresql 12.1 + pgpool-ii 4.1构建容灾高可用集群(三节点以上,支持数据同步流复制/主备自动切换)
zxfmamama的博客
10-28 3721
一、高可用容灾效果 某一个 postgresql 数据库挂掉 (多台数据库启动后其中一台作为主机,其余作为备机构成一个数据库集群); 如果是主机primary,集群检测到挂掉会通过配置的策略重新选一个备机standby切换为主机primary, 整个集群仍旧保证可用, 当原主机恢复服务后, 重新作为一个新备机standby,同步完数据后加入集群 如果是备机standby,对整个集群无可见影响, 当备机恢复服务后,从主库同步完数据后,恢复正常状态加入集群; 某一台机器上的pgpool-ii..
PostgreSQL角色迁移原理简述
最新发布
总想试试,万一成了呢??
05-21 678
本文描述PostgreSQL角色迁移的流程,基于该方案可通过Java、Python等语言开发PostgreSQL角色迁移工具。
Postgresql12+Pgpool-ii 4.1高可用集群
TimeRovers的博客
01-15 1681
Postgresql12+Pgpool-ii 4.1高可用集群原文链接一、方案1.1 方案效果1.1 主机配置二、安装2.1 postgresql-12安装(3台机器均安装)2.1.1 yum在线安装2.1.2 rpm离线安装2.1.3 源码安装(本人使用)三、配置3.1 配置开启远程连接3.2 启动并修改密码3.3 postgresql-12 流复制配置3.3.1 流复制原理简述3.3.2 流复制同步级别3.3.3 注意事项 原文链接 https://blog.csdn.net/zxfmamama/ar
PostgreSQL 角色用户管理介绍
09-10
主要介绍PostgreSQL 角色用户管理相关知识,需要的朋友可以参考下
PostgreSQL 与 MySQL 比较
03-09
PostgreSQL 与 MySQL 比较
Windows下Postgre SQL数据库通过Slony-I 实现数据库双机同步备份
ma12shuai的专栏
07-31 3487
一、 我们要实现的环境是windows xp、windows2003上安装Postgre SQL数据库,实现目的是两台数据库服务器进行数据库同步,即数据库同步更新、删除、插入等对数据库的操作。 二、 使用的工具是数据库版本Postgre SQL 9.2,配置集群的工具是Stack Builder自己的可安装的Slony-I v2.1.3-1。 三、 Slony-I实现数据库集群同步的原理简述
PostgreSQL配置SSL安全连接
总想试试,万一成了呢??
06-11 3756
环境说明 PostgreSQL 9.4 docker容器 配置步骤 服务器端证书配置 服务器端需生成三个文件: root.crt(根证书)、server.crt(服务器证书)、server.key(服务器私钥) 生成服务器私钥 $ cd /var/lib/postgresql/data $ openssl genrsa -des3 -out server.key 2048 Generating RSA private key, 2048 bit long modulus ................
Ora2Pg配置文件详解
总想试试,万一成了呢??
12-09 3305
说明 此说明基于ora2pg v21.0版本 配置文件说明 # 导入其它配置文件. # 用途:将通用配置编辑成common.conf后,其它的配置文件只需导入,不需要再编写通用配置 IMPORT common.conf # 将文件内容导入postgresql数据库。但只能用于导入函数、存储过程和包定义 # 用途: 在不使用ora2pg连接oracle数据库的情况下,导入定义 INPUT_FILE ora_plsql_src.sql # 设置Oracle home目录,ora2pg安装前就已经配置环境变量
PostgreSQL增量订阅方案:利用Logical Decoding订阅增量
总想试试,万一成了呢??
12-26 2955
Logical Decoding是PostgreSQL9.4中的一个重要功能,它的功能是从PG的WAL日志中,读取数据库更新信息,然后“翻译”(Decode)成逻辑的形式,可发送到远程从库做数据同步。 该方案实现思路如下: 1.要利用该功能,首先需要修改PostgreSQL的配置文件: wal_level = logical max_replication_slots = 1 # 该参数要大于...
Ora2Pg命令行使用详解
总想试试,万一成了呢??
07-28 2164
以下是Ora2pg所有可用的命令行参数: -a | --allow str : 配置允许导出的对象列表,通过逗号分隔不同对象。可与SHOW_COLUMN一起使用 -b | --basedir dir: 设置默认输出目录,用于存储导出的文件 -c | --conf file : 指定配置文件,默认为/etc/ora2pg/ora2pg.conf. -d | --debug : 开启更详细的输出 -D | --data_type STR : 允许自定义类型转
Ora2Pg-安装(Linux)
总想试试,万一成了呢??
07-09 1748
Deepi/Ubuntu安装ora2pg教程
PG(二)_PostgreSQL服务器选择与配置
总想试试,万一成了呢??
08-29 1408
硬件、存储和文件系统选择 磁盘建议选择SSD磁盘,其次是机械硬盘 如果CPU支持numa模式,建议关闭。 pg用0号cpu启动时,cpu0对应的内存就会大量使用,内存回收时也会优先回收cpu0对应的内存。 当被换出页被访问时,就会出现响应时间变慢的问题,引起性能严重抖动。关闭numa模式,内存地 位就平等了,就不会出现上述问题。 存储阵列级别建议选择raid,其次是raid5. 核心数据库选择raid10,非核心压力不大的数据库从成本考虑可以使用raid5. 推荐使用逻辑卷LVM管理,便于
Postgres利用触发器实现增量订阅
总想试试,万一成了呢??
12-11 710
在进行数据库迁移时涉及增量,对于增量数据,可以利用触发器对要迁移的表的dml操作进行跟踪记录。该方式同样可应用于dml审计。操作如下: 1、创建测试表 CREATE TABLE test ( id int primary key, info varchar(255) ) 2、安装hstore extension CREATE EXTENSION hstore 3、创建用于存储dml...
PG(一)_PostgreSQL安装与部署
总想试试,万一成了呢??
08-29 532
rpm安装PostgreSQL 安装PostgreSQL 进入https://www.postgresql.org/download/linux/选择对应的操作系统,即可获取rpm安装的操作步骤 # 安装rpm源 $ yum install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm # 安装数据库 $ yum install -y postg
postgresql 查看角色
03-31
要查看 PostgreSQL 数据库中的角色,可以使用以下命令: ```sql \du ``` 该命令将显示所有角色的列表,包括每个角色的名称、角色类型(超级用户、普通用户等)、是否可以登录、是否是默认角色以及该角色是否被锁定。 如果您只想查看特定角色的信息,可以使用以下命令: ```sql \du <role_name> ``` 其中 `<role_name>` 是要查看的角色的名称。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值