PostgreSQL 权限解释

【问题标题】:PostgreSQL permissions explainedPostgreSQL 权限解释
【发布时间】:2014-10-30 17:04:57
【问题描述】:

请解释 PostgreSQL 中\z 命令的输出。我理解许可,我阅读了文档,但不知何故我错过了对\z 输出的解释。

datastore_default=> \z

                                    Access privileges
 Schema |      Name       | Type  |         Access privileges         | Column access privileges 
--------+-----------------+-------+-----------------------------------+--------------------------
 public | _table_metadata | view  | ckan_default=arwdDxt/ckan_default+| 
        |                 |       | datastore_default=r/ckan_default +| 
        |                 |       | readonlyuser=r/ckan_default      +| 
 public | foo             | table | ckan_default=arwdDxt/ckan_default+| 
        |                 |       | datastore_default=r/ckan_default +| 
        |                 |       | readonlyuser=r/ckan_default      +|

不知何故 readonlyuser 似乎能够读取表 foo 和 _foo 但实际上它不能。两个命令都返回错误:

sudo -u postgres psql -d datastore_default -U readonlyuser -c 'SELECT * FROM foo'
sudo -u postgres psql -d datastore_default -U readonlyuser -c 'SELECT * FROM public.foo'
ERROR:  permission denied for schema public
LINE 1: SELECT * FROM public.foo

编辑:显然我对数据库和模式权限的工作方式了解甚少。首先,只有数据库管理员(用户 postgres)或数据库所有者(在我的情况下是用户 ckan_default)可以授予其他用户对特定数据库的权限。架构只是数据库级别的,所以我添加readonlyuser查看公共架构的权限是可以的,无论如何它无法从其他数据库中选择。

【问题讨论】:

  • 我在我的答案中添加了一些关于阅读 ACL 的详细信息。

标签: postgresql


【解决方案1】:

错误表明 schema public 的权限被拒绝(强调我的)

您需要在公共架构上授予只读用户权限:

GRANT USAGE ON SCHEMA public TO readonlyuser;

ACL 的内容在this page 上进行了解释。此处引用的最相关部分:

rolename=xxxx -- 授予角色的权限 =xxxx -- 授予 PUBLIC 的权限

        r -- SELECT ("read")
        w -- UPDATE ("write")
        a -- INSERT ("append")
        d -- DELETE
        D -- TRUNCATE
        x -- REFERENCES
        t -- TRIGGER
        X -- EXECUTE
        U -- USAGE
        C -- CREATE
        c -- CONNECT
        T -- TEMPORARY
  arwdDxt -- ALL PRIVILEGES (for tables, varies for other objects)
        * -- grant option for preceding privilege

    /yyyy -- role that granted this privilege

+ 是 psql 格式化结果的方式的一部分,它们不是值的一部分。

【讨论】:

  • 谢谢,但它似乎仍然不起作用。 sudo -u postgres psql -d datastore_default -U ckan_default -c 'GRANT USAGE ON SCHEMA public TO readonlyuser;' WARNING: no privileges were granted for "public" GRANT。 \z 打印同样的东西。我有 PostgreSQL 9.1.14 (Ubuntu 12.04 LTS)
  • 我认为当您登录的用户没有足够的权限授予这些权限时,它会发出该消息。您应该拥有 GRANT 权限或者是 public 的所有者或者是超级用户。
  • 谢谢。现在很清楚了。我的印象是 + 有一些特殊的含义。
  • 我有一个 postgres 用户,他是一个无法截断的表的所有者...我在该用户的 ACL 中看到它是:arwdRxt。这是什么意思,它与arwdDxt 有何不同?我的假设是因为 DR 其中 D 代表 TRUNCATE
  • psql_access_priv_decoder 是一个工具,您可以提供psql 的输出,并以明文形式向您解释访问权限。
猜你喜欢
  • 1970-01-01
  • 2015-04-25
  • 2018-06-09
  • 1970-01-01
  • 2019-12-19
  • 2020-12-10
  • 1970-01-01
  • 2014-08-07
  • 2014-05-08
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode