我正在创建一个 pre-prod Postgres 数据库,并希望确保访问用户具有有限的访问权限。
我想以访问用户不能或对象的方式CREATE
设置DROP
表ALTER
。目前,我可以看到将所有权更改为另一个用户的唯一方法,例如postgres
然后以某种方式仅授予所需的权限:
ALTER TABLE mytable SET OWNER TO postgres;
REVOKE connect ON DATABASE mydatabase FROM PUBLIC;
GRANT USAGE, SELECT, UPDATE ON ALL TABLES IN SCHEMA public TO dbuser;
GRANT connect ON DATABASE mydatabase TO dbuser;
SELECT
问题是当我执行上述操作时,当我与授予应用程序的用户连接时,我无法做一个简单的事情。例如:
select * from mytable;
产量:
ERROR: permission denied for relation mytable
如何做到这一点?
此外,我应该使用除 ? 之外的命名模式public
?
在和上阅读手册
GRANT
ALTER TABLE
。表没有
USAGE
特权。如果您尝试您的GRANT
命令,您会看到一条错误消息。您也需要schema的权限。这
USAGE
是正确的。但是你肯定要撤销CREATE
。列所拥有的序列的所有权会
serial
自动更改为新的表所有者。但是您需要手动重新拥有的任何其他序列。或者你用REASSIGN OWNED
.您可能还需要序列权限。(如果您授予
INSERT
或希望他们使用currval()
或nextval()
功能)。这些当前(v9.6)与表权限分开。我强烈建议将权限捆绑在一个组角色中,并将该角色的成员资格授予/撤销给选定的用户角色。
作为超级用户,沿着这些思路:
有关的:
架构
public
绝不是特别的。它只是在默认情况下安装,PUBLIC
并在 default 中设置了权限和预设search_path
。一些数据库管理员甚至将其删除。您可以像使用任何其他架构一样使用它。视整体情况而定。有关的: