一.gp用户权限级别
gp用户的权限级别有以下5类。
- 仅自己
- 基础
- 基础操作员
- 操作员
- 管理员(超级用户)
其中有超级用户的具有全部的权限,不需要进行任何的授权操作。默认的超级用户为gpadmin。可创建多个超级用户。
其他一般的用户,建外部表、创建角色、登陆权限、使用pxf等的权限,都需要进行授权才可以使用,可以在创建角色时指定权限,也可后期进行添加。
role,user基本是一样的,只是默认创建的role没有登录数据库的权限
role相关可以看官方文档:https://gpdb.docs.pivotal.io/6-1/ref_guide/sql_commands/CREATE_ROLE.html#topic1
(一般情况下不要使用超级用户、超级用户会被从资源队列限制中排除,超级发起的查询不受资源队列的控制)
二.管理对象权限
gp 的授权是单张表级别的授权
当创建对象(database\schema\table等)时,会为其分配一个所有者(owner),可以指定所有者,未指定则当前用户即为该对象的所有者。 所有者通常是执行创建语句的角色。
对于大多数类型的对象,初始状态是只有所有者(或超级用户)可以对该对象执行任何操作。 要允许其他角色使用它,必须授予权限。
具体的grant操作可以参考:
https://gpdb.docs.pivotal.io/6-1/ref_guide/sql_commands/GRANT.html
具体的revoke操作可以参考:
https://gpdb.docs.pivotal.io/6-1/ref_guide/sql_commands/REVOKE.html#topic1
将一张表授权给一个新的用户,新用户必须有表所在的database、schema以及表本身的权限,新用户才能最终访问到该表。
(DDL只有超级用户以及owner才能进行操作)
例子:
将gpdb下的gpschema.t1的select权限授权给新用户.
owner:admin
新用户:newrole
## 表授权需要以下三个步骤(次序可以颠倒):
## 将database授权给用户
GRANT ALL ON DATABASE gpdb