我正在从MySQL迁移到PostgreSQL,并且已经打破了用户权限。我习惯使用以下命令为用户分配所有数据库的权限:
# MySQL
grant all privileges on mydatabase.* to 'myuser'@'localhost' identified by 'mypassword';
在我看来,PostgreSQL 9.x解决方案涉及为“架构”分配权限,但我需要努力弄清楚究竟要发出什么样的SQL证明过多。我知道再花几个小时的研究会得出答案,但我认为每个从MySQL迁移到PostgreSQL的人都可以从网上至少有一个提供简单完整配方的页面中受益。这是我需要为用户发出的唯一命令。我宁愿不必为每个新表发出命令。
我不知道在PostgreSQL中必须以不同方式处理哪些场景,所以我将列出我过去通常必须处理的一些场景。假设我们只想修改已经创建的单个数据库的权限。
(1a)并非所有表格都已创建,或(1b)表格已经创建。
(2a)尚未创建用户,或(2b)已创建用户。
(3a)尚未为用户分配权限,或者(3b)先前已将权限分配给用户。
(4a)用户只需要插入,更新,选择和删除行,或者(4b)用户还需要能够创建和删除表。
我已经看到了为所有数据库授予所有权限的答案,但这不是我想要的。拜托,我正在寻找一个简单的食谱,虽然我也不介意解释。
我不想向所有用户和所有数据库授予权限,因为这似乎是传统的快捷方式,因为当任何一个用户受到攻击时,该方法会破坏所有数据库。我托管多个数据库客户端,并为每个客户端分配不同的登录信息。
看起来我还需要USAGE权限才能获得serial列的增加值,但我必须按某种顺序授予它。我的问题变得更复杂了。
答案 0 :(得分:50)
角色是可以访问数据库集群中所有数据库的全局对象 - 具有所需的权限。
群集拥有许多数据库,其中包含许多架构。不同DB中的模式(甚至具有相同名称)是不相关的。授予模式的权限仅适用于当前数据库中的此特定模式(授予时的当前数据库)。
默认情况下,每个数据库都以模式public开头。这是一个惯例,许多设置都以它开头。除此之外,架构public只是一个与其他架构一样的架构。
来自MySQL,您可能希望从单个模式public开始,有效地完全忽略模式层。我定期在每个数据库中使用几十个模式
模式在文件系统中有点(但不完全)类似于目录。
使用多个架构后,请务必了解search_path设置:
PostgreSQL为某些类型的对象授予默认权限
PUBLIC。默认情况下,表{1}没有授予任何权限, 列,模式或表空间。对于其他类型,默认值 授予PUBLIC的权限如下:PUBLIC和CONNECT数据库;CREATE TEMP TABLE职能特权;和EXECUTE语言特权。
所有这些默认值都可以使用ALTER DEFAULT PRIVILEGES更改:
Like @Craig commented,最好是USAGE对组角色的权限,然后使该角色的特定用户成员(GRANT组角色为用户角色)。这样,处理和撤销某些任务所需的特权束就更简单了。
组角色只是没有登录的另一个角色。添加登录名以将其转换为用户角色。更多:
说,我们有一个新数据库GRANT,一个组mydb和一个用户mygrp ......
以超级用户身份(例如myusr)连接到相关数据库时:
postgres像你写的那样分配REVOKE ALL ON DATABASE mydb FROM public; -- shut out the general public
GRANT CONNECT ON DATABASE mydb TO mygrp; -- since we revoked from public
GRANT USAGE ON SCHEMA public TO mygrp;
(我可能更具限制性):
a user all privileges to all tables要为将来的对象设置默认权限,请运行在此架构中创建对象的每个角色:
GRANT ALL ON ALL TABLES IN SCHEMA public TO mygrp;
GRANT ALL ON ALL SEQUENCES IN SCHEMA public TO mygrp; -- don't forget those
现在,将该组授予用户:
ALTER DEFAULT PRIVILEGES FOR ROLE myusr IN SCHEMA public
GRANT ALL ON TABLES TO mygrp;
ALTER DEFAULT PRIVILEGES FOR ROLE myusr IN SCHEMA public
GRANT ALL ON SEQUENCES TO mygrp;
-- more roles?
相关答案:
来自MySQL,并且由于您希望保持数据库分离的权限,您可能会喜欢这种非标准设置GRANT mygrp TO myusr;
。 Per documentation:
此参数启用每个数据库的用户名。它默认是关闭的。
仔细阅读本手册。我不使用此设置。它并没有使上述内容无效。
答案 1 :(得分:1)
也许您可以给我一个授予特定用户的示例 在所有表上选择/插入/更新/删除 - 那些是否存在 还是创建了一个特定的数据库?
你称之为MySQL的数据库更像是PostgreSQL模式,而不是PostgreSQL数据库。
连接数据库"测试"作为超级用户。这就是
$ psql -U postgres test
Change the default privileges适用于现有用户" tester"。
ALTER DEFAULT PRIVILEGES IN SCHEMA public
GRANT INSERT, SELECT, UPDATE, DELETE ON TABLES
TO tester;
更改默认权限对现有表没有影响。这是设计的。对于现有表,请使用标准GRANT和REVOKE语法。
您无法为不存在的用户分配权限。
答案 2 :(得分:1)
我不想向所有用户和所有数据库授予权限,这似乎是传统的快捷方式,因为当任何一个用户遭到入侵时,该方法会破坏所有数据库。我托管多个数据库客户端,并为每个客户端分配不同的登录信息。
确定。将表分配给正确的角色时,授予的权限将是特定于角色的,而不是所有用户!然后,您可以决定将roles提供给谁。
role。角色可以容纳许多用户。client-username分配给正确的角色。 your-username。
(1a)并非所有表格都已创建,或(1b)表格已经创建。
确定。您可以稍后创建表格。
准备就绪后,将表分配给正确的客户端role。
CREATE TABLE tablename();
CREATE ROLE rolename;
ALTER TABLE tablename OWNER TO rolename;
(2a)尚未创建用户,或(2b)已创建用户。
确定。准备好后创建用户名。如果您的客户需要多个用户名,只需创建第二个client-username。
CREATE USER username1;
CREATE USER username2;
(3a)尚未为用户分配权限,或者(3b)先前已将权限分配给用户。
确定。当您准备好提供权限时,请创建用户并为其分配正确的角色。
使用GRANT-TO命令为用户分配角色。
GRANT rolename TO username1;
GRANT rolename TO username2;
(4a)用户只需要插入,更新,选择和删除行,或者(4b)用户还需要能够创建和删除表。
确定。您可以运行这些命令来为用户添加权限。
GRANT SELECT, UPDATE, INSERT, DELETE ON dbname TO role-or-user-name;
ALTER USER username1 CREATEDB;
答案 3 :(得分:0)
如果您只使用PUBLIC,则可以忘记架构。 然后你做这样的事情:( see doc here)
GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER }
[, ...] | ALL [ PRIVILEGES ] }
ON { [ TABLE ] table_name [, ...]
| ALL TABLES IN SCHEMA schema_name [, ...] }
TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]