我想在 PostgreSQL 中创建一个只能从特定数据库执行 SELECT 的用户。在 MySQL 中,命令是:
GRANT SELECT ON mydb.* TO 'xxx'@'%' IDENTIFIED BY 'yyy';
PostgreSQL 中等效的命令或命令系列是什么?
我试过...
postgres=# CREATE ROLE xxx LOGIN PASSWORD 'yyy';
postgres=# GRANT SELECT ON DATABASE mydb TO xxx;
但看起来您可以授予数据库的唯一权限是 CREATE、CONNECT、TEMPORARY 和 TEMP。
最佳答案
将使用/选择授予单个表
如果您只将 CONNECT 授予数据库,则用户可以连接但没有其他权限。您必须在命名空间(模式)上授予 USAGE,在表和 View 上单独授予 SELECT,如下所示:
GRANT CONNECT ON DATABASE mydb TO xxx;
-- This assumes you're actually connected to mydb..
GRANT USAGE ON SCHEMA public TO xxx;
GRANT SELECT ON mytable TO xxx;
多表/ View (PostgreSQL 9.0+)
在最新版本的 PostgreSQL 中,您可以使用单个命令授予对模式中所有表/ View /等的权限,而不必一一键入它们:
GRANT SELECT ON ALL TABLES IN SCHEMA public TO xxx;
这只会影响已经创建的表。更强大的是,你可以自动拥有 default roles assigned to new objects future :
ALTER DEFAULT PRIVILEGES IN SCHEMA public
GRANT SELECT ON TABLES TO xxx;
请注意,默认情况下,这只会影响发出此命令的用户创建的对象(表):尽管它也可以设置在发出命令的用户所属的任何角色上。但是,在创建新对象时,您不会为您所属的所有角色获取默认特权……因此仍然存在一些问题。如果您采用数据库具有所有者角色的方法,并且架构更改是作为该所有者角色执行的,那么您应该为该所有者角色分配默认权限。恕我直言,这有点令人困惑,您可能需要进行试验才能得出一个实用的工作流程。
多表/ View (PostgreSQL 9.0之前版本)
为避免在冗长的多表更改中出错,建议使用以下“自动”过程为每个表/ View 生成所需的 GRANT SELECT:
SELECT 'GRANT SELECT ON ' || relname || ' TO xxx;'
FROM pg_class JOIN pg_namespace ON pg_namespace.oid = pg_class.relnamespace
WHERE nspname = 'public' AND relkind IN ('r', 'v', 'S');
这应该将相关的 GRANT 命令输出到公共(public)的所有表、 View 和序列上的 GRANT SELECT,以进行复制粘贴。当然,这只会应用于已经创建的表。
关于postgresql - 如何在 PostgreSQL 中创建只读用户?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/760210/