Início / dba / Perguntas / 195307
Accepted
Elliot Blackburn
Asked: 2018-01-13 17:40:13 +0800 CST

Atribuir o proprietário do objeto a uma função que não seja o criador automaticamente na criação de um banco de dados

  • 772

Fundo:

Vou começar dizendo que sou bastante novo no postgres, geralmente trabalho com aplicativos da Web e conheço o SQL, mas sou novo no postgres e na administração de banco de dados. No entanto, li os documentos do postgres para funções de banco de dados .

Minha equipe de trabalho é bastante pequena e somos responsáveis ​​pela construção e implantação de uma aplicação web que usa o postgres como nosso banco de dados principal. Há cerca de 3 de nós que trabalham ativamente no banco de dados. Isso inclui criar, alterar (e ocasionalmente descartar) tabelas e fazer o mesmo com funções e tipos.

Recentemente, nos deparamos com o problema da propriedade do objeto. Parece que apenas o proprietário de um objeto pode eliminá-lo do banco de dados, seja qualquer objeto de banco de dados. Queremos liberdade razoável para poder manipular o banco de dados conforme necessário sem mexer muito com a propriedade do objeto o tempo todo.

No momento, não tivemos a chance de automatizar a implantação de nossas alterações de banco de dados por meio de scripts de migração e a responsabilidade de executá-las é do indivíduo que lidera o desenvolvimento e a implantação de um recurso.

Pergunta:

Gostaríamos de uma maneira de atribuir a propriedade do objeto a uma função de grupo (à qual todos teríamos acesso) sem precisar fazer isso manualmente após cada criação de objeto. Existe uma maneira de configurar isso globalmente para um esquema ou banco de dados, ou mesmo para uma função de grupo? Se no (provável) evento isso for realmente uma coisa boba de se fazer, alguém tem alguma sugestão de como devemos trabalhar nesse cenário?

Coisas que exploramos:

Eu já passei por alter default privilegesisso, mas parece que isso deve ser definido para cada função de login (usuário), o que parece haver algum atrito, o que significa que podemos estar indo na direção errada. Depois disso, o google e a troca de pilha apareceram pouco, embora eu possa não estar usando a terminologia correta.

postgresql

1 respostas

  1. Best Answer

    Você não pode usar alter default privilegesporque não pode reatribuir a propriedade.

    O que você pode fazer é executar para cada dev:

    alter user john_q_developer set role = feature_role;

    Dessa forma, todos os desenvolvedores, por padrão, criarão todos os seus objetos com feature_roleo proprietário. Isso é praticamente a mesma coisa que todos os desenvolvedores apenas fazem logon no banco de dados como o mesmo usuário, exceto que dessa forma todos eles obtêm sua própria senha (ou seu próprio método de autenticação de escolha) em vez de compartilhar uma.

    Isso tem o mesmo "atrito" que alter default privilegestem, pois você precisa executar alter user ...uma vez para cada create user ..., mas esse nível de atrito parece muito pequeno para mim.

    Os objetos não serão marcados dentro do banco de dados com quem os criou, mas você pode configurar o servidor para registrar essas informações se desejar (inclua "%u" no log_line_prefix, e defina log_statement = 'ddl'no arquivo de configuração postgresql.conf.)

    Uma abordagem um pouco mais restrita seria criar uma feature_ownerfunção que possa criar objetos e uma feature_dev noinherit in role feaure_ownerfunção que tenha todos os direitos além de criar objetos e conceder a todos os desenvolvedores a função feature_dev.

    Dessa forma, as tentativas de criar objetos falharão por padrão, mas qualquer pessoa pode simplesmente executar set role = feature_ownere repetir a criação para criar objetos sob essa propriedade. Seria de conhecimento comum que apenas o condutor de recurso deve fazer uso desse poder em circunstâncias normais.

    • 1

relate perguntas