GRANT SELECT ON ALL TABLES IN SCHEMA public TO readonly;
ผู้ใช้แบบอ่านอย่างเดียวสามารถเชื่อมต่อดูตาราง แต่เมื่อพยายามทำการเลือกง่ายๆจะได้รับ:
ERROR: permission denied for relation mytable
SQL state: 42501
สิ่งนี้เกิดขึ้นกับ PostgreSQL 9.1
ฉันทำอะไรผิด?
คำตอบ:
นี่คือโซลูชันที่สมบูรณ์สำหรับ PostgreSQL 9+ ซึ่งอัปเดตล่าสุด
CREATE USER readonly WITH ENCRYPTED PASSWORD 'readonly';
GRANT USAGE ON SCHEMA public to readonly;
ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT ON TABLES TO readonly;
-- repeat code below for each database:
GRANT CONNECT ON DATABASE foo to readonly;
\c foo
ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT ON TABLES TO readonly; --- this grants privileges on new tables generated in new database "foo"
GRANT USAGE ON SCHEMA public to readonly;
GRANT SELECT ON ALL SEQUENCES IN SCHEMA public TO readonly;
GRANT SELECT ON ALL TABLES IN SCHEMA public TO readonly;
ขอบคุณhttps://jamie.curle.io/creating-a-read-only-user-in-postgres/สำหรับประเด็นสำคัญหลายประการ
หากใครพบรหัสที่สั้นกว่าและควรเป็นรหัสที่สามารถดำเนินการนี้กับฐานข้อมูลที่มีอยู่ทั้งหมดได้
GRANT ALLสิทธิ์เป็นค่าเริ่มต้นแก่ผู้ใช้แบบอ่านอย่างเดียว
\ddpสิทธิสามารถยืนยันได้รับใช้ ควรแสดง=r/เหมือนgranting_user=r/readonly_userสำหรับการเข้าถึงแบบอ่านเท่านั้น
พยายามเพิ่ม
GRANT USAGE ON SCHEMA public to readonly;
คุณอาจไม่ทราบว่าจำเป็นต้องมีสิทธิ์ที่จำเป็นสำหรับสคีมาเพื่อที่จะใช้ออบเจ็กต์ในสคีมา
psqlเป็นผู้ใช้และฉันจะได้รับการตอบสนองที่เหมาะสมpostgres GRANTแต่ถึงกระนั้นเมื่อฉันมองไปที่ ACL ในตารางที่ฉันเห็นเพียงสองบัญชีอื่น ๆ หนึ่งเป็นเจ้าของฐานข้อมูลjirauserและอื่น ๆ qauserอ่านได้อย่างเดียวบัญชีชื่อ แต่ของฉันreadonlyไม่ปรากฏที่นั่น Postgres เป็นเวอร์ชัน 9.1 และฉันได้รีสตาร์ทเซิร์ฟเวอร์ก็ยังไม่มีอะไรเกิดขึ้น
สิ่งนี้ใช้ได้ผลสำหรับฉัน:
ตรวจสอบบทบาทปัจจุบันที่คุณลงชื่อเข้าใช้โดยใช้: SELECT CURRENT_USER, SESSION_USER;
หมายเหตุ : ต้องตรงกับเจ้าของสคีมา
Schema | ชื่อ | พิมพ์ | เจ้าของ
-------- + -------- + ------- + ----------
หากเจ้าของแตกต่างกันให้มอบสิทธิ์ทั้งหมดให้กับบทบาทผู้ใช้ปัจจุบันจากบทบาทผู้ดูแลระบบโดย:
GRANT 'ROLE_OWNER' เป็น 'CURRENT ROLENAME';
จากนั้นลองดำเนินการค้นหามันจะให้ผลลัพธ์เมื่อเข้าถึงความสัมพันธ์ทั้งหมดได้แล้ว
ตรวจสอบให้แน่ใจว่าผู้ใช้ของคุณมีคุณสมบัติตามบทบาท ตัวอย่างเช่น:
postgres=# \du
List of roles
Role name | Attributes | Member of
-----------+------------------------------------------------+-----------
flux | | {}
postgres | Superuser, Create role, Create DB, Replication | {}
หลังจากดำเนินการคำสั่งต่อไปนี้:
postgres=# ALTER ROLE flux WITH Superuser;
ALTER ROLE
postgres=# \du
List of roles
Role name | Attributes | Member of
-----------+------------------------------------------------+-----------
flux | Superuser | {}
postgres | Superuser, Create role, Create DB, Replication | {}
มันแก้ไขปัญหา
ดูบทแนะนำสำหรับบทบาทและสิ่งต่างๆที่นี่: https://www.digitalocean.com/community/tutorials/how-to-use-roles-and-manage-grant-permissions-in-postgresql-on-a-vps--2
ERROR: permission denied for relation mytable
คุณควรดำเนินการค้นหาถัดไป:
GRANT ALL ON TABLE mytable TO myuser;
หรือหากข้อผิดพลาดของคุณอยู่ในมุมมองตารางอาจไม่มีสิทธิ์ดังนั้นคุณควรดำเนินการค้นหาถัดไป:
GRANT ALL ON TABLE tbm_grupo TO myuser;
ALTER DROP DELETEEct ถึงผู้ใช้นั้น ...