PostgreSQL中的角色浅析

最新推荐文章于 2024-03-08 17:30:21 发布
最新推荐文章于 2024-03-08 17:30:21 发布
阅读量255 收藏
点赞数
文章标签: 数据库
原文链接:https://my.oschina.net/rathan/blog/663857
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

本来角色相关的单词都是可以小写的,为了表示重要性,本文中全部大写。

 

ROLE的概念

PostgreSQL通过Role的概念管理数据库的访问权限。

ROLE可以拥有数据库对象,如表、函数,也可以GRANT相关权限给其他ROLE。

Role可以被当做User使用,也可以当做Group使用,或者既是User也是Group,完全看这个Role如何设置。

PG 8.1版本之前还有User和Group的概念,之后都归入Role。

 

ROLE的分类:

1、按数量,分类普通ROLE和GROUP

2、按权限大小,分为:ROLE、USER、ADMIN、SUPERUSER

 

GROUP

在GP系统的用户管理中,通常会把多个ROLE赋予一个GROUP,这样可以对该GROUP中的ROLE做批量的权限操作。

在设置权限时只需给该组设置即可,撤销权限时也是从该组撤消。在PostgreSQL中,首先需要创建一个代表组的角色,之后再将该角色的membership权限赋给独立的用户角色即可。

GROUP关系demo:

rathandb=# CREATE ROLE rathan_group_test;
NOTICE:  resource queue required -- using default resource queue "pg_default"
CREATE ROLE
rathandb=# CREATE ROLE rathan_group_member IN ROLE rathan_group_test INHERIT;
NOTICE:  resource queue required -- using default resource queue "pg_default"
CREATE ROLE
rathandb=# CREATE ROLE rathan_group_member2 IN ROLE rathan_group_test;
NOTICE:  resource queue required -- using default resource queue "pg_default"
CREATE ROLE
rathandb=# CREATE ROLE rathan_no_group_member;
NOTICE:  resource queue required -- using default resource queue "pg_default"
CREATE ROLE
rathandb=# \du+ rathan_*;
                               List of roles
       Role name        |  Attributes  |      Member of      | Description
------------------------+--------------+---------------------+-------------
 rathan_group_member    | Cannot login | {rathan_group_test} |
 rathan_group_member2   | Cannot login | {rathan_group_test} |
 rathan_group_test      | Cannot login |                     |
 rathan_no_group_member | Cannot login |                     |
 
rathandb=# ALTER ROLE rathan_no_group_member IN ROLE rathan_group_test;
ERROR:  option "addroleto" not recognized (user.c:813)
rathandb=# GRANT rathan_group_test TO rathan_no_group_member;
GRANT ROLE
                                    List of roles
       Role name        |       Attributes        |      Member of      | Description
------------------------+-------------------------+---------------------+-------------
 rathan_group_member    | Cannot login            | {rathan_group_test} |
 rathan_group_member2   | Cannot login            | {rathan_group_test} |
 rathan_group_test      |                         |                     |
 rathan_no_group_member | Cannot login            | {rathan_group_test} |
 
rathandb=# REVOKE rathan_group_test FROM rathan_no_group_member;
rathandb=# \du+ rathan_*;
                                    List of roles
       Role name        |       Attributes        |      Member of      | Description
------------------------+-------------------------+---------------------+-------------
 rathan_group_member    | Cannot login            | {rathan_group_test} |
 rathan_group_member2   | Cannot login            | {rathan_group_test} |
 rathan_group_test      |                         |                     |
 rathan_no_group_member | Cannot login            |                     |
 
 rathandb=# DROP ROLE rathan_group_test;
 rathandb=# \du+ rathan_*;
                                    List of roles
       Role name        |       Attributes        |      Member of      | Description
------------------------+-------------------------+---------------------+-------------
 rathan_group_member    | Cannot login            |                     |
 rathan_group_member2   | Cannot login            |                     |
 rathan_no_group_member | Cannot login            |                     |

LOGIN赋权操作:

rathandb=# ALTER ROLE rathan_group_test WITH LOGIN;
ALTER ROLE
rathandb=# \du+ rathan_*;
                               List of roles
       Role name        |  Attributes  |      Member of      | Description
------------------------+--------------+---------------------+-------------
 rathan_group_member    | Cannot login | {rathan_group_test} |
 rathan_group_test      |              |                     |
 rathan_no_group_member | Cannot login |                     |

rathan_group_member继承了rathan_group_test的权限,为什么还是没有login属性?

因为角色属性LOGIN、SUPERUSER和CREATEROLE被视为特殊权限,它们不会像其它数据库对象的普通权限那样被继承。

 

ROLE与USER:

USER表示带有LOGIN属性的ROLE。

CREATE ROLE创建的用户默认不带LOGIN属性,而CREATE USER创建的用户默认带有LOGIN属性。

LOGIN权限demo:

rathandb=# CREATE ROLE rathan_role_test;
NOTICE:  resource queue required -- using default resource queue "pg_default"
CREATE ROLE
rathandb=# CREATE USER rathan_user_test;
NOTICE:  resource queue required -- using default resource queue "pg_default"
CREATE ROLE
rathandb=# \du+ rathan_*;
                            List of roles
     Role name     |  Attributes  |      Member of      | Description
-------------------+--------------+---------------------+-------------
 rathan_group_test |              |                     |
 rathan_role_test  | Cannot login |                     |
 rathan_user_test  |              |                     |

 

SUPERUSER

1、只有SUPERUSER可以创建SUPERUSER,SUPERUSER可以改写所有的database限制。

2、数据库的超级用户拥有该数据库的所有权限,为了安全起见,我们最好使用非超级用户完成我们的正常工作。和创建普通用户不同,创建超级用户必须是以超级用户的身份执行以下命令:

rathandb=# CREATE ROLE rathan_normal_role;
rathandb=# CREATE ROLE rathan_superuser WITH SUPERUSER;
CREATE ROLE
rathandb=# CREATE ROLE rathan_superuser2 WITH SUPERUSER LOGIN;
CREATE ROLE
rathandb=# \du+ rathan_*;
                                    List of roles
       Role name        |       Attributes        |      Member of      | Description
------------------------+-------------------------+---------------------+-------------
 rathan_normal_role     | Cannot login            |                     |
 rathan_superuser       | Superuser, Cannot login |                     |
 rathan_superuser2      | Superuser               |                     |

 

ADMIN 

可以GRANT GROUP TO 其他ROLE,或者REVOKE GROUP FROM 其他ROLE。

ADMIN权限demo:

rathandb=# SET SESSION AUTHORIZATION 'gpadmin';
rathandb=# CREATE ROLE rathan_role_admin IN ROLE rathan_group_test;
rathandb=# CREATE ROLE rathan_role_no_admin IN ROLE rathan_group_test;
rathandb=# CREATE ROLE rathan_role_test IN ROLE rathan_group_test;
rathandb=# GRANT rathan_group_test TO rathan_role_admin WITH ADMIN OPTION;
rathandb=# \du+ rathan_*;
                              List of roles
      Role name       |  Attributes  |      Member of      | Description
----------------------+--------------+---------------------+-------------
 rathan_group_test    |              |                     |
 rathan_role_admin    | Cannot login | {rathan_group_test} |
 rathan_role_no_admin | Cannot login | {rathan_group_test} |
 rathan_role_test     | Cannot login | {rathan_group_test} |

rathandb=# SET SESSION AUTHORIZATION 'rathan_role_admin';
rathandb=# SELECT SESSION_USER, CURRENT_USER;
   session_user    |   current_user
-------------------+-------------------
 rathan_role_admin | rathan_role_admin
(1 row)

rathandb=# REVOKE rathan_group_test FROM rathan_role_test;
REVOKE ROLE
rathandb=# \du+ rathan_role_test;
                       List of roles
     Role name     |  Attributes  | Member of | Description
-------------------+--------------+-----------+-------------
 rathan_role_test | Cannot login |           |

rathandb=# GRANT rathan_group_test TO rathan_role_test;
GRANT ROLE
rathandb=# SET SESSION AUTHORIZATION 'rathan_role_no_admin';
SET
rathandb=# SELECT SESSION_USER, CURRENT_USER;
     session_user     |     current_user
----------------------+----------------------
 rathan_role_no_admin | rathan_role_no_admin
(1 row)

rathandb=# REVOKE rathan_group_test FROM rathan_role_test;
ERROR:  must have admin option on role "rathan_group_test"

 

补充:

设置默认schema:

ALTER USER username SET search_path = schema1,schema2,schema3,etc;

 

关于一点点权限

默认情况下,只有创建database的ROLE才有权限对database做全量操作;
Superuser可以访问所有的object。其他账号想要使用需要被GRANT权限;

权限分类: SELECT, INSERT, UPDATE, DELETE, REFERENCES, TRIGGER, CREATE, CONNECT, TEMPORARY, EXECUTE, and USAGE. 

上述权限全部GRANT的话可以用ALL代替。

 

本文中的测试环境:

psql --version
psql (PostgreSQL) 8.2.15

 

相关官方文档:

角色:

http://www.postgresql.org/docs/8.2/static/user-manag.html

命令:

CREATE ROLEALTER ROLEDROP ROLEGRANTREVOKESET ROLESET SESSION AUTHORIZATION

权限:

http://www.postgresql.org/docs/8.2/static/ddl-priv.html

 

转载于:https://my.oschina.net/rathan/blog/663857

weixin_34393428
关注
docker容器与K8S浅析
liangsheng123321的博客
02-02 1876
一:什么是docker? Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从 Apache2.0 协议开源。Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app),更重要的是容器性能开销极低。 二:Docker与虚拟化技...
『UE4数字孪生』开发流程浅析2022版(持续更新)
weixin_43635045的博客
04-13 1万+
数字孪生 是充分利用物理模型、传感器更新、运行历史等数据,集成多学科、多物理量、多尺度、多概率的仿真过程,在虚拟空间完成映射,从而反映相对应的实体装备的全生命周期过程。并利用大数据计算,深度学习,人工智能等前沿技术,挖掘数据潜力,提高数据价值。 大家好,我是石几衣束,Shader不写了,视频不剪了,蓝图也不连了...来当一段时间小作家。 没想到,自21年3月份发布这篇文章以来,时隔一年,收获了大量同行业者来自不同角度的交流和解读,大家共克时艰收获颇丰,同时也推动着我孜孜不倦的排忧解难更上
PostgreSQL数据库角色
HighGO
09-30 1707
PostgreSQL使用角色的概念管理数据库访问权限。一个角色可以被看成是一个数据库用户或者是一个数据库用户组。角色可以拥有数据库对象(例如,表和函数)并且能够把那些对象上的权限赋予给其他角色来控制谁能访问哪些对象。此外,还可以把一个角色的成员资格授予给另一个角色,这样允许成员角色使用被赋予给另一个角色的权限。 数据库角色 数据库角色在概念上已经完全与操作系统用户独立开来。数据库角色在一个数...
postgreSQL数据库角色
敖尔其楞的专栏
09-28 817
PostgreSQL使用角色的概念来访问呢数据库,一个角色可以使一个数据库用户,或是一组数据用户,
PostgreSQL数据库角色(Role)、用户(User)、模式(Schema)
SQLplusDB的小院
05-07 7543
用户(角色)主要用于权限管理,模式用于数据库对象的管理。
Postgre验证用户有哪些角色
cjzero的博客
01-10 535
验证PG用户有哪些角色 select r.rolname,ARRAY( select b.rolname from pg_catalog.pg_auth_members m join pg_catalog.pg_roles b on (m.member=b.oid) where m.member=r.oid) as memb
PostgreSQL学习笔记(三):psql、用户角色、系统表
fatestranger的博客
12-02 2143
数据库用户和操作系统用户不同,但是可以通过文件做映射;PG通过角色role来管理数据库访问权限,role是一系列相关权限的集合;role在整个cluster是全局性的,即同一个服务器的不同数据库,看到的用户是相同的;PG的用户分为两类:超级用户–postgres普通用户–根据需要创建。
Postgres_2017象行国杭州第一期_张文杰(卓刀)_Greenplum备份恢复浅析
03-25
在本讲座"Postgres_2017象行国杭州第一期_张文杰(卓刀)_Greenplum备份恢复浅析",张文杰(卓刀)深入探讨了Greenplum数据库的备份与恢复策略,这对于任何运行大型数据仓库或分析系统的组织来说都是至关重要的...
数据库技术浅析:SQL入门与应用
在信息化社会,SQL数据库查询技术扮演着至关重要的角色,它是数据管理和信息检索的核心工具。本文将深入浅出地探讨这一主题,帮助初学者理解并掌握SQL数据库的基础知识。 首先,我们来了解一下数据库的起源和发展...
数据库主备高可用架构浅析
数据库架构之美
08-02 2704
数据库作为信息系统重要的基础设施,一直承担着压舱石的角色。互联网应用的高并发、海量数据使得数据库的负载越来越重,这在数据大集的情况下愈发明显。而数据库作为信息系统唯一的“单点”,稳定性、可用性是首先要保证的目标。这里的单点并不是指数据库没有高可用方案,而是因为数据库只要涉及到数据的复制就一定是有状态的,有状态的应用更加难以运维,并且在遭遇异常时并不能做到真正意义上的无缝切换。 传统关系型...
PostgreSQL学习手册(角色和权限) 转
weixin_30807677的博客
05-23 213
原文PostgreSQL学习手册(角色和权限) PostgreSQL是通过角色来管理数据库访问权限的,我们可以将一个角色看成是一个数据库用户,或者一组数据库用户。角色可以拥有数据库对象,如表、索引,也可以把这些对象上的权限赋予其它角色,以控制哪些用户对哪些对象拥有哪些权限。一、数据库角色: 1. 创建角色: CREATE ROLErole_name; 2....
用好PostgreSQL role membership来管理继承组权限
weixin_33743661的博客
11-24 549
用好PostgreSQL role membership来管理继承组权限 作者 digoal 日期 2016-11-14 标签 PostgreSQL , role , 角色 , membership , inherit , 权限继承 背景 在数据库,如果你想把A用户创建的对象权限赋予给B用户,或者其他用户。 通常我们会对需要赋权的对象使用gr...
PostgreSQL角色(二)
weixin_33894992的博客
02-18 239
2019独角兽企业重金招聘Python工程师标准>>> ...
PgSQL · 答疑解惑 · PostgreSQL 用户组权限管理
huanghongliang的专栏
11-17 1万+
PgSQL · 答疑解惑 · PostgreSQL 用户组权限管理
PostgreSQL的用户、角色和权限管理
热门推荐
eagle89的专栏
05-18 2万+
Pg权限分为两部分,一部分是“系统权限”或者数据库用户的属性,可以授予role或user(两者区别在于login权限);一部分为数据库对象上的操作权限。超级用户不做权限检查,其它走acl。对于数据库对象,开始只有所有者和超级用户可以做任何操作,其它走acl。在pg里,对acl模型做了简化,组和角色都是role,用户和角色的区别是角色没有login权限。pg_roles:该视图提供访问数据库角色有关...
PostgreSQL-表空间、数据库、模式、角色实践
技术改变世界
08-27 2668
目录 1表空间(tablespace) 数据库(database) 模式(Schema) ​​​​​​​角色(role||user) 1. 表空间(tablespace) 不同的数据库表空间有不同的定义。在postgres,表空间允许在文件系统定义数据库对象存储的位置,实质上就是指定一个目录。 1.2 应用场景 存储磁盘没有空间时,可以使用表空间把数据存在其它地方; 利用表空间对数据库进行性能优化。常用来将频繁使用的数据表或者索引放在高性能的硬盘上,而较少使用的放在普...
postgresql 角色 用户区别
weixin_33923148的博客
03-06 354
2019独角兽企业重金招聘Python工程师标准>>> ...
with grant option与with admin option区别
SKY的专栏
11-10 5749
相同点: - 两个都可以既可以赋予user 权限时使用,也可以在赋予role 时用 GRANT CREATE SESSION TO emi WITH ADMIN OPTION; GRANT CREATE SESSION TO role WITH ADMIN OPTION; GRANT role1 to role2 WITH ADMIN OPTION; GRANT select ON cus
PostgreSQL教程(二十四):服务器管理(六)之数据库角色
最新发布
mr~li的博客
03-08 1393
PostgreSQL使用角色的概念管理数据库访问权限。一个角色可以被看成是一个数据库用户或者是一个数据库用户组,这取决于角色被怎样设置。角色可以拥有数据库对象(例如,表和函数)并且能够把那些对象上的权限赋予给其他角色来控制谁能访问哪些对象。此外,还可以把一个角色的成员资格授予给另一个角色,这样允许成员角色使用被赋予给另一个角色的权限。角色的概念把“用户”和“组”的概念都包括在内。在PostgreSQL版本 8.1 之前,用户和组是完全不同的两种实体,但是现在只有角色
PostgreSQL文学习手册全览
"这是《postgresql文学习手册》,涵盖了PostgreSQL数据库的多个核心概念和技术,包括数据表、模式、表的继承和分区、数据类型、函数和操作符、索引、事务隔离、性能优化、服务器配置、角色与权限、数据库管理、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值