Início / server / Perguntas / 198002
Accepted
rz.
Asked: 2010-11-04 18:45:10 +0800 CST

Postgresql: o que GRANT ALL PRIVILEGES ON DATABASE faz?

  • 772

Estou tentando conceder todos os privilégios em todas as tabelas de um determinado banco de dados para um novo usuário postgres (não o proprietário). Parece que GRANT ALL PRIVILEGES ON DATABASE my_db TO new_user;não faz isso. Depois de executar o comando com sucesso (como usuário postgres), recebo o seguinte como new_user:

$ psql -d my_db
my_db => SELECT * FROM a_table_in_my_db;
ERROR:  permission denied for relation a_table_in_my_db

Duas questões:

1) O que o comando acima faz, então, se não conceder todas as permissões em todas as tabelas em my_db?

2) Qual é a maneira correta de conceder todas as permissões em todas as tabelas a um usuário? (incluindo em todas as tabelas criadas no futuro)

sql permissions postgresql

3 respostas

  1. Best Answer

    As respostas para suas perguntas vêm dos documentos online do PostgreSQL 8.4 .

    1. GRANT ALL PRIVILEGES ON DATABASEconcede os privilégios CREATE, CONNECT, e TEMPORARYem um banco de dados a uma função (os usuários são chamados corretamente de funções ). Nenhum desses privilégios realmente permite que uma função leia dados de uma tabela; SELECTprivilégio na mesa é necessário para isso.

    2. Não tenho certeza se existe uma maneira "adequada" de conceder todos os privilégios em todas as tabelas a uma função. A melhor maneira de garantir que uma determinada função tenha todos os privilégios em uma tabela é garantir que a função seja proprietária da tabela. Por padrão, cada objeto recém-criado pertence à função que o criou, portanto, se você quiser que uma função tenha todos os privilégios em uma tabela, use essa função para criá-la.

      O PostgreSQL 9.0 apresenta a seguinte sintaxe que é quase o que você deseja:

      GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO new_user;

      O problema é que, se você criar tabelas em esquemas fora do esquema "público" padrão, isso GRANTnão se aplicará a eles. Se você usar esquemas não públicos, terá GRANTprivilégios para esses esquemas separadamente.

    • 113

  2. É possível configurar vários logins para atuar como proprietário do banco de dados:

    • Crie uma função "nologin" para atuar como proprietário:CREATE ROLE dbowner NOLOGIN
    • Altere o proprietário do seu banco de dados para este:ALTER DATABASE mydb OWNER TO dbowner
    • Conceda todos os seus logins a esta nova função:GRANT dbowner TO user1, user2

    Agora, se user1 ou user2 fizerem login, eles terão todas as permissões em "mydb" sem nenhuma concessão adicional necessária.

    No entanto, eu consideraria essa solução com cuidado. É tentador fazer com que seu aplicativo da Web use um desses logins para evitar a dor de criar concessões adicionais sempre que o esquema for atualizado, mas você está removendo uma forma de proteção muito útil dessa maneira. Use a solução acima se você realmente quiser vários "administradores", mas mantenha o padrão "conceder todos os privilégios em todas as tabelas no esquema ..." acima para o login do seu aplicativo de "uso normal".

    • 24

  3. No PostgreSQL 12 e posterior, é possível conceder todos os privilégios de uma tabela em um banco de dados a uma função/usuário/conta.

    A sintaxe é:

    GRANT ALL ON table_name TO role_name;

    Se você deseja concedê-lo a todas as tabelas do banco de dados , a sintaxe será:

    GRANT ALL ON ALL TABLES TO role_name;

    Se você deseja conceder a todas as tabelas de um esquema no banco de dados , a sintaxe será:

    GRANT ALL ON ALL TABLES IN SCHEMA schema_name TO role_name;

    Aqui está como eu fiz :

    Primeiro, entrei no servidor de banco de dados Postgres:

    psql -U postgres

    Resultado

    psql (12.6 (Ubuntu 12.6-0ubuntu0.20.04.1))
Type "help" for help.

    Em seguida, criei um usuário/função/conta de banco de dados:

    CREATE ROLE alice4 WITH LOGIN PASSWORD 'securePass1';

    Resultado

    CREATE ROLE

    Em seguida, criei uma tabela no banco de dados postgres:

    create table candidates (
    candidate_id int generated always as identity,
    first_name varchar(100) not null,
    last_name varchar(100) not null,
    email varchar(255) not null unique,
    phone varchar(25) not null,
    primary key(candidate_id)
);

    Resultado

    CREATE TABLE

    Em seguida, concedi todos os privilégios na candidatesmesa para a conta/usuário/funçãoalice4

    GRANT ALL ON candidates TO alice4;

    Resultado

    GRANT

    Em seguida, desconectado do banco de dados postgres e da postgresconta/usuário/função:

    exit

    Em seguida, entrei no banco de dados Postgres usando a alice4conta/usuário/função:

    psql -U alice4 -W postgres

    Resultado

    Password: 
psql (12.6 (Ubuntu 12.6-0ubuntu0.20.04.1))
Type "help" for help.

    Em seguida, inseri dados na candidatestabela que foi criada anteriormente:

    INSERT INTO candidates(first_name, last_name, email, phone)
VALUES('Joe','Com','[email protected]','408-111-2222');

    Resultado

    INSERT 0 1

    Em seguida, selecionei todos os dados da candidatestabela que foi criada anteriormente:

    SELECT * FROM candidates;

    Resultado

     candidate_id | first_name | last_name |        email        |    phone     
--------------+------------+-----------+---------------------+--------------
            1 | Joe        | Com       | [email protected] | 408-111-2222
(1 row)

    Recursos : PostgreSQL GRANT

    Isso é tudo

    Eu espero que isso ajude

    • 6

relate perguntas