PostgreSQL权限修改 : ALTER DEFAULT PRIVILEGES

最新推荐文章于 2024-07-25 09:07:53 发布
最新推荐文章于 2024-07-25 09:07:53 发布
阅读量6.7k 收藏 11
点赞数 3
分类专栏: postgresql 文章标签: postgresql  修改权限

关于权限的问题,曾经有个问题一直困扰着,由于关系不是很大一直没有深究,今天偶然的一次机会
看手册时看到 "ALTER DEFAULT PRIVILEGES" 命令,立即解决了困扰已久的问题。

 

--1 问题描述

        在生产数据库中通常不允许开发人员使用生产帐号连接数据库,那么有时候开发人员又需要查询数据库
权限,用于日常问题排查,通常的做法是创建一个查询帐号,并把数据库中指定表的查询权限开放给给查询
帐号,这也是目前我们生产系统维护过程中使用较多的方法,但是如果开发人员希望对整库所有表的查询权
限均开放,而且以后生产库中新建的表也需要默认的开放此帐号的查询权限,这时如何处理?这时,今天学
习到的命令即可解决这个问题,命令为 "ALTER DEFAULT PRIVILEGES",下面简单测试下。

 

--2 环境信息
PostgreSQL 版本:  9.1.0
数据库名:          mydb
数据库属主:        mydb
查询帐号           mydb_select

 

  备注:假设数据库 mydb 库中用户仅创建 mydb  schema。

 

--3 创建只读帐号

 

 [postgres@pgb ~]$ psql
psql (9.1.0)
Type "help" for help.
postgres=# create role  mydb_select LOGIN  NOSUPERUSER NOCREATEDB NOCREATEROLE  encrypted password 'mydb_select';
CREATE ROLE

  备注:上面创建帐号 mydb_select。

 

--4 给帐号 mydb_select 赋权 

 

 postgres=# c mydb mydb
You are now connected to database "mydb" as user "mydb".

mydb=> grant connect on database mydb to mydb_select;
GRANT

mydb=> grant usage on schema mydb to mydb_select;
GRANT

mydb=> grant select on all tables in schema mydb to mydb_select;
GRANT    

   备注:上面命令给帐号 mydb_select 开通了数据库 mydb 的只读权限,可以访问mydb 库中 mydb schema 下的所有表。
 

--5 权限测试

 mydb=> c mydb mydb_select;
You are now connected to database "mydb" as user "mydb_select".

mydb=> select * from mydb.test limit 1;
   id   | name
--------+------
 831681 | AAA
(1 row)

      备注: mydb_select 用户查询 mydb.test 表成功,没有问题。
--6 在 mydb 库中创建一张新表

 mydb=>  create table test_33 as select * From test limit 10 ;
SELECT 10

mydb=> dp test_33
Access privileges
 Schema |  Name   | Type  | Access privileges | Column access privileges
--------+---------+-------+-------------------+--------------------------
 mydb   | test_33 | table | mydb=arwdDxt/mydb+|

(1 row)

mydb=> c mydb mydb_select;
You are now connected to database "mydb" as user "mydb_select".

mydb=> select * from mydb.test_33;
ERROR:  permission denied for relation test_33 

      备注:此时用户 mydb_select 没有权限查询,因为 mydb.test_33 是赋权后新建的表。
--7 使用 "ALTER DEFAULT PRIVILEGES"  赋权

 mydb=> ALTER DEFAULT PRIVILEGES IN SCHEMA mydb grant select on tables to mydb_select;
ALTER DEFAULT PRIVILEGES

  备注:我们更改用户 mydb_select 的默认权限,使得在数据库 mydb中 mydb 模式下创建的新表,
默认给用户 mydb_select 开通查询权限,这个命令仅对未来创建的数据库对像生效,对
当前存在的数据库对像不起作用, 这个命令的详细信息,参考本文末尾的附一。

 

--8 权限测试

 

 mydb=>  create table test_34 as select * From test limit 10 ;
SELECT 10

mydb=> dp test_34
Access privileges
 Schema |  Name   | Type  | Access privileges  | Column access privileges
--------+---------+-------+--------------------+--------------------------
 mydb   | test_34 | table | mydb=arwdDxt/mydb +|
|         |       | mydb_select=r/mydb |

(1 row)

mydb=> c mydb mydb_select
You are now connected to database "mydb" as user "mydb_select".

mydb=> select * From mydb.test_34 limit 1;
   id   | name
--------+------
 831681 | AAA
(1 row)

 

mydb=> select * From mydb.test_33 limit 1;
ERROR:  permission denied for relation test_33

 

  备注:这时用户 mydb_select 果然拥有之后创建表(mydb.test_34) 的查询权限了,而对之前的表
 mydb.test_33 依然没有查询权限,这也正好验证子这前关于这个命令的说明,即仅对未来
 创建的数据库对像生效。

 

附一 ALTER DEFAULT PRIVILEGE 命令

 

Name

ALTER DEFAULT PRIVILEGES -- define default access privileges

 

Synopsis

 

ALTER DEFAULT PRIVILEGES
    [ FOR { ROLE | USER } target_role [, ...] ]
    [ IN SCHEMA schema_name [, ...] ]
    abbreviated_grant_or_revoke

where abbreviated_grant_or_revoke is one of:

GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER }
    [,...] | ALL [ PRIVILEGES ] }
    ON TABLES
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT { { USAGE | SELECT | UPDATE }
    [,...] | ALL [ PRIVILEGES ] }
    ON SEQUENCES
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT { EXECUTE | ALL [ PRIVILEGES ] }
    ON FUNCTIONS
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

REVOKE [ GRANT OPTION FOR ]
    { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER }
    [,...] | ALL [ PRIVILEGES ] }
    ON TABLES
    FROM { [ GROUP ] role_name | PUBLIC } [, ...]
    [ CASCADE | RESTRICT ]

REVOKE [ GRANT OPTION FOR ]
    { { USAGE | SELECT | UPDATE }
    [,...] | ALL [ PRIVILEGES ] }
    ON SEQUENCES
    FROM { [ GROUP ] role_name | PUBLIC } [, ...]
    [ CASCADE | RESTRICT ]

REVOKE [ GRANT OPTION FOR ]
    { EXECUTE | ALL [ PRIVILEGES ] }
    ON FUNCTIONS
    FROM { [ GROUP ] role_name | PUBLIC } [, ...]
    [ CASCADE | RESTRICT ]

Description
     ALTER DEFAULT PRIVILEGES allows you to set the privileges that will be applied to objects created in
     the future. (It does not affect privileges assigned to already-existing objects.) Currently, only the
     privileges for tables (including views), sequences, and functions can be altered.

黄杏波
关注
专栏目录
PostgreSQL教程】PostgreSQL 高级篇之 PRIVILEGES权限管理)
No8g攻城狮的博客
09-18 468
不管是什么数据库,无论何时创建数据库对象,系统都会为其分配一个所有者,所有者通常是执行 create 语句的人。 对于数据库中大多数类型的对象,初始状态是只有所有者(或超级用户)才能修改或删除对象。如果要允许其他角色或用户使用它,那么所有者或者说是管理员必须为该用户设置权限(赋予权限)。
PG用户default privileges授权不生效?
三思的博客
04-24 2891
PG数据库的数据库用户授权相较MySQL是有所不同的。 MySQL通过grant对整个schema的表对象授权select权限,被授权账号将会拥有该schema下的所有表对象以及未来创建的表对象的select权限PostgreSQL数据库通过grant对整个schema的表对象授权select后,被授权账号默认只拥有该schema下当前所有表对象的select权限,不包含该schema下未来创建的表对象的权限。如果需要数据库用户对该schema下未来创建的表对象继承select权限,需要通过alter
PostgreSQL9.0新特性介绍: alter default privileges,解决只读用户的问题
opendba的专栏
09-01 1264
PostgreSQL9.0提供了一种新的权限方式,即alter default privileges。这个语句的可以解决在数据库中建只读用户的要求。以前在PostgreSQL数据库中,建不了只读用户,即使第一次把所有表的select权限赋给一个用户,但当后面又建新表后,这个只读用户是没有后面新建表的读权限的。而在oracle数据库,只要select any table to xxxx,就建立了一个只读用户。现在PostgreSQL9.0提供了alter default privileges功能后,这个问题不
openGauss SQL语法 — ALTER DEFAULT PRIVILEGES
最新发布
weixin_53596073的博客
07-25 1033
其中revoke_on_column_encryption_keys_clause子句用于回收列加密密钥的权限。其中grant_on_column_encryption_keys_clause子句用于对列加密密钥授权。其中revoke_on_client_master_keys_clause子句用于回收客户端主密钥的权限。其中grant_on_client_master_keys_clause子句用于对客户端主密钥授权。其中revoke_on_sequences_clause子句用于回收序列的权限
数仓安全:用Alter default privilege解决共享schema权限
华为云官方博客
11-13 2378
一种典型客户场景是一些用户是数据的生产方,需要在schema中创建表并写入数据;而另一些用户是数据的消费方,读取schema中的数据做分析。使用Alter default privilege语法可以实现这种共享schema的权限管理问题。通过简单示例演示了Alter default privilege语法处理这种典型场景的细节和有效性。
PostgreSQL 修改设置数据库的默认用户以及权限,2024年最新一位软件测试大牛的BAT面试心得与经验总结
2401_84281703的博客
04-17 1109
需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注软件测试)(img-tLcAulkZ-1713342983902)]设置是 supseruser 以及 登录权限
PostgreSQL数据库管理:创建与权限控制
ALTER DEFAULT PRIVILEGES IN SCHEMA myschema GRANT INSERT, SELECT, UPDATE, DELETE, TRUNCATE, REFERENCES, TRIGGER ON TABLES TO public; ``` 类似地,可以设置对新序列和函数的默认权限。 4. 角色和登录 在...
PostgreSQLPostgreSQL权限授予常用SQL
tttzzzqqq2018的博客
01-12 860
【代码】【PostgreSQLPostgreSQL权限授予常用SQL。
PostgreSQL教程(二):模式Schema详解
09-10
使用`ALTER DEFAULT PRIVILEGES`语句,可以为将来在特定模式下创建的新对象预先设置默认权限。例如,为`myschema`模式下所有新表、序列和函数设置权限,可以避免每次创建新对象时都进行单独的权限分配。 在某些场景...
MogDB/openGauss default privileges 使用方法
2401_83143557的博客
03-21 264
我们现在有三个用户分别是 omm、u1 和 ur,其中 omm 是超户,u1 是读写用户,ur 是只读用户,s 是我们的 schema,u1 是 s 的 owner,我们想要用户 ur 可以访问 s 下所有的表,包括未来的表。对于 schema 我们应该很好理解,在 MogDB/openGauss 中每个逻辑层级的对象都有自己的权限,且都需要单独给权限。我们发现执行 alter default privileges 权限生效与否,与执行的用户及其语法有关系了,主要是要不要添加。但是第二个报错是什么原因呢?
pgsql-Create_ALTER_GRANT_REVOKE命令语法
草青工作室 的专栏
02-28 929
SELECT允许 SELECT 从任何列、或特定的列、表、视图、物化视图、或其他类似表格的对象。也允许使用COPY TO。还需要这个权限来引用UPDATE 或 DELETE中现有的列值。对于序列,这个权限还允许使用currval 函数。对于大对象,此权限允许读取对象。INSERT允许将新行的INSERT加入表、视图等等。可以在特定列上授予,在这种情况下INSERT命令中只有那些列可以被分配(其他列将因此而收到默认值)。还允许使用COPY FROM。UPDATE。
Postgresql学习笔记-高级语法篇
cyh0503的博客
08-30 1206
Postgresql学习笔记-高级语法篇 Postgresql 约束 Postgresql约束用于规定表中的数据规则。 如果存在违反约束的数据行为,行为会被约束终止。 约束可以在创建表的时候就规定(通过CREATE TABLE 语句),或者在表创建之后规定(通过ALTER TABLE 语句)。 约束确保了数据库中数据的准确性和可靠性。 约束可以是列级或者表级。列级约束仅适用于列...
PostgreSQL 基础知识:对象所有权和默认权限
PostgreSQL China
05-17 1297
最常见的解决方案是:将所有对象的所有权设置为一致的角色,然后将该角色的成员资格授予需要修改对象的用户。在我们的示例设置中,合理的选择是角色devgrp,因为所有开发人员都是该角色的成员。了解角色的创建方式、权限的分配方式以及随着时间的推移如何为一致的访问准备数据库将帮助您有效地使用 PostgreSQL 并让您的团队顺畅地工作。为了提供一个使用我们小型开发团队的示例,我们可以将此表的所有者更改为所有开发人员都是其成员的组,在我们的例子中是角色devgrp。创建的任何对象都将由创建时有效的角色拥有。
PostgreSQL权限的分配和控制
互联网知识分享
09-29 1257
中,权限用于控制用户对数据库对象的访问和操作。ALTER DEFAULT PRIVILEGES:用于设置默认权限,即当用户创建新对象时,默认分配给该对象的权限。语句可以设置默认权限,即当用户创建新对象时,默认分配给该对象的权限。中,默认情况下,数据库对象的所有权和访问权限都是由创建该对象的用户所拥有。提供了一组权限控制语句,用于分配和撤销用户对数据库对象的权限。中进行权限的分配和控制。REVOKE:用于撤销用户或用户组对数据库对象的某种权限。GRANT:用于授予用户或用户组对数据库对象的某种权限
PostgreSQL 创建数据库、创建用户、赋予权限、创建表、主键总结
xiaowei20091124的专栏
09-02 7769
PostgreSQL 创建数据库、创建用户、赋予权限、创建表、自动增长主键总结
Postgres 备忘录
aabbcc456aa的专栏
12-01 523
首先需要执行下面的SQL语句: revoke create on schema public from public; 这是因为在PG中默认任何用户都可以在名称为public的schema中创建表,而只读用户是不允许创建表的,所以先要把这个权限回收。 创建名称为readonly的只读用户: create user readonly with password 'query'; 然
PostgreSql 用户及权限管理
热门推荐
脑子进水养啥鱼?的博客
07-17 1万+
ALTER DEFAULT PRIVILEGES 允许设置将被应用于未来要创建的对象的特权(它不会影响分配给已经存在的对象的特权)。当前,只能修改用于模式、表(包括视图和外部表)、序列、函数和类型(包括域)的特权。其中,可设置权限的函数包括聚集函数和过程函数。当这个命令应用于函数时,单词 FUNCTIONS 和 ROUTINES 是等效的。(推荐使用 ROUTINES,因为它是用来囊括函数和过程的一个标准术语。在较早的 PostgreSQL 发行版中,只允许单词 FUNCTIONS。
Alter操作(修改列名,修改列数据类型,增加列,删除列,增加列且设为主键及对默认值操作)
Shiny0815的博客
09-08 1万+
删除列 alter table empi_patient_copy2 drop column address 增加列 alter table empi_patient_copy2 add column address VARCHAR(400)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值