Início / dba / Perguntas / 344439
Accepted
Stokedout
Asked: 2024-12-29 08:05:32 +0800 CST

Como crio uma função postgres restrita para um aplicativo text-2-sql?

  • 772

Estou usando o AGI para gerar Postgres SQL (AWS RDS Postgres), mas quero evitar que os usuários façam perguntas sobre tabelas subjacentes, como "Mostrar todos os bancos de dados", "Mostrar todos os usuários", que resultam em consultas como SELECT * FROM pg_databasee SELECT * FROM pg_roles.

O script de trabalho que tenho para isso é:

Conectar postgrescomo postgres(superusuário):

CREATE ROLE client_creator WITH LOGIN PASSWORD '<generate>' CREATEDB CREATEROLE;

Conecte-se postgrescomo client_creator:

CREATE DATABASE "client_db";
CREATE ROLE "client_reader" WITH LOGIN PASSWORD '<generate>';

Conecte-se client_dbcomoclient_creator

GRANT CONNECT, TEMPORARY ON DATABASE "client_db" TO "client_reader";
GRANT SELECT ON ALL TABLES IN SCHEMA public TO "client_reader";
GRANT USAGE ON SCHEMA public TO "client_reader";

ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT ON TABLES TO "client_reader"; 

REVOKE ALL PRIVILEGES ON SCHEMA pg_catalog FROM client_reader;
REVOKE ALL PRIVILEGES ON SCHEMA pg_catalog FROM public;

O problema é que os dois últimos REVOKEcomandos parecem não ter efeito, pois ainda consigo executar SELECT * FROM pg_rolese receber todas as linhas.

Também tentei revogar SELECTtabelas pg_catalog.

A questão é:

  • Posso fazer isso?
  • Devo fazer isso? Pensamentos...
    • Vi comentários em outras postagens que sugerem que isso é uma má ideia, mas como entendi que cada banco de dados tem uma cópia do pg_catalog, pensei que não seria um problema.
    • Acredito que as consultas geradas não devem depender de objetos pg_catalog, mas posso estar errado
postgresql

1 respostas

  1. Best Answer

    Você deve ser um superusuário para mexer com os privilégios no esquema do sistema pg_catalog; um usuário normal não conseguirá fazer isso. Remover o USAGEprivilégio no esquema pg_catalogrestringirá PUBLICo acesso para usuários normais, mas não para superusuários, que estão isentos de restrições de privilégios.

    Fazer isso é uma má ideia, porque quebrará todos os clientes interativos e pode causar outros problemas piores. Metadados são públicos no PostgreSQL, e você não deve tentar mudar isso (veja as muitas outras perguntas sobre esse tópico). A única maneira razoável de impedir que um usuário veja metadados de outros é colocá-los em bancos de dados diferentes, já que cada banco de dados tem suas próprias tabelas de catálogo.

    • 1

relate perguntas