Início / dba / Perguntas / 208899
Accepted
AndreKR
Asked: 2018-06-07 05:29:27 +0800 CST

Como conceder todos os privilégios em um banco de dados?

  • 772

Existem muitas quase duplicatas para esta pergunta e todas que encontrei até agora estavam erradas e/ou incompletas, então sinto que precisamos de uma resposta canônica.

No PostgreSQL, como posso conceder todas as permissões em um banco de dados a um usuário, sem dar a ele permissões de SUPERUSER?

Isso inclui todas as tabelas , sequências , tipos , gatilhos , índices , procedimentos e quaisquer outros objetos que estejam atualmente no banco de dados e quaisquer objetos que sejam criados no banco de dados posteriormente, por este usuário ou outros. Claro, também inclui a capacidade de criar objetos no banco de dados.

postgresql permissions

1 respostas

  1. Best Answer

    O que você pergunta é pouco prático - você normalmente usaria um superusuário para isso. Porque, citando o manual :

    O direito de modificar ou destruir um objeto é sempre privilégio do proprietário.

    E:

    O direito de descartar um objeto ou alterar sua definição de qualquer forma não é tratado como um privilégio concedível; é inerente ao proprietário e não pode ser concedida ou revogada. (No entanto, um efeito semelhante pode ser obtido concedendo ou revogando a associação na função que possui o objeto; veja abaixo.) O proprietário implicitamente também tem todas as opções de concessão para o objeto.

    Portanto, para que um não superusuário também tenha esses privilégios, ele teria que ser membro (direta ou indiretamente) em todas as funções que têm permissão para criar objetos.

    GRANT any_role TO admin_role;

    Conceder associação em uma função de superusuário não torna o membro um superusuário.

    Os atributos LOGINde função , SUPERUSER, CREATEDBe CREATEROLEpodem ser considerados privilégios especiais, mas nunca são herdados como privilégios comuns em objetos de banco de dados.

    Mas a função de membro agora pode se SET ROLEtornar superusuário . Pode ou não ser o que você quer.

    Então, como proprietário, admin_rolepode também GRANTquaisquer privilégios adicionais (que podem ter sido revogados) ele mesmo.

    Ou você configura um regime que atribui a propriedade de todos os objetos existentes e futuros a uma função e concede associação somente a essa função. A maneira rápida de fazer isso para todos os objetos de determinadas funções é REASSIGN OWNED. Relacionado:

    Mas você gostaria de conceder propriedade a objetos no catálogo do sistema também? Esses são de propriedade do superusuário postgresna configuração padrão.

    Em vez disso, eu usaria um superusuário onde os privilégios "todos" são necessários. E conceda apenas os privilégios necessários (incluindo CREATEDBe CREATEROLE) a uma função de administrador. Uma receita para uma função de administrador poderosa (sem todos os privilégios):

    • 1

relate perguntas