我想为用户提供数据库的所有权限,而不是将其作为管理员。我想要这样做的原因是,目前DEV和PROD是同一集群上的不同DB,所以我不希望用户能够更改生产对象,但它必须能够更改DEV上的对象。
我试过了:
grant ALL on database MY_DB to group MY_GROUP;
但它似乎没有给予任何许可。
然后我尝试了:
grant all privileges on schema MY_SCHEMA to group MY_GROUP;
它似乎允许我创建对象,但不允许查询属于其他用户的该架构上的\ delete对象
我可以继续在MY_SCHEMA上向用户授予USAGE权限,但是它会抱怨没有权限在桌子上......
所以我想我的问题是:是否有任何简单的方法可以在数据库上为用户提供所有权限?
我正在研究PostgreSQL 8.1.23。
用户显然需要访问数据库:
GRANT CONNECT ON DATABASE my_db TO my_user;
并且(至少)对模式的USAGE
特权:
GRANT USAGE ON SCHEMA public TO my_user;
然后,所有表的所有权限(需要Postgres 9.0或更高版本):
GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO my_user;
并且不要忘记序列(如果有的话):
GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO my_user;
对于旧版本,您可以使用pgAdmin III(默认GUI)的“授予向导”。
更多:
但实际上,你应该upgrade to a current version。
GRANT ALL PRIVILEGES ON DATABASE "my_db" to my_user;
在PostgreSQL 9.0+中,您将执行以下操作:
GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA MY_SCHEMA TO MY_GROUP;
GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA MY_SCHEMA TO MY_GROUP;
如果要为新创建的关系启用此功能,请设置默认权限:
ALTER DEFAULT PRIVILEGES IN SCHEMA MY_SCHEMA
GRANT ALL PRIVILEGES ON TABLES TO MY_GROUP;
ALTER DEFAULT PRIVILEGES IN SCHEMA MY_SCHEMA
GRANT ALL PRIVILEGES ON SEQUENCES TO MY_GROUP;
但是,看到你使用8.1,你必须自己编写代码:
CREATE FUNCTION grant_all_in_schema (schname name, grant_to name) RETURNS integer AS $$
DECLARE
rel RECORD;
BEGIN
FOR rel IN
SELECT c.relname
FROM pg_class c
JOIN pg_namespace s ON c.namespace = s.oid
WHERE s.nspname = schname
LOOP
EXECUTE 'GRANT ALL PRIVILEGES ON ' || quote_ident(schname) || '.' || rel.relname || ' TO ' || quote_ident(grant_to);
END LOOP;
RETURN 1;
END; $$ LANGUAGE plpgsql STRICT;
REVOKE ALL ON FUNCTION grant_all_in_schema(name, name) FROM PUBLIC;
这将设置所有关系的权限:表,视图,索引,序列等。如果要限制它,请过滤pg_class.relkind
。有关详细信息,请参阅pg_class docs。
您应该以超级用户身份运行此功能,并按照应用程序的要求运行。一个选项是将其打包在每天或每小时执行的cron作业中。