2
在Postgres中,如何創建具有CREATEROLE特權的用戶,但僅限於特定的DB/DB集合?Postgres CREATEROLE限制到特定分區
我試圖做:
CREATE ROLE user WITH LOGIN PASSWORD 'password' NOCREATEDB CREATEROLE;
這是正確的嗎? +我如何將CREATEROLE授予多個分貝?
A
回答
1
看來,這不是一個簡單的方法來做到這一點。但是你可以創建功能與security definer選項,以實現所需的行爲:
create or replace function fn_create_role(p_name text, p_password text, p_databases text[]) returns void
language plpgsql
security definer
as $$
begin
execute format('create role %I with login password %L;', p_name, p_password);
execute format('grant connect on database %s to %I', array_to_string(p_databases, ','), p_name);
return;
end $$;
創建此功能的超級用戶。
然後,您可以使用NOCREATEROLE選項創建角色,但授予此功能EXECUTE權限並使用它創建其他角色。
注意:您需要從public角色撤銷connect選擇特定的DB不允許角色連接到它們的默認,例如:
revoke connect on database db1, db2 from public;
測試:
作爲超級用戶( nd在我的情況下誰也擁有架構同名)
postgres=# create database db1; create database db2;
CREATE DATABASE
CREATE DATABASE
postgres=# revoke connect on database db1, db2 from public;
REVOKE
postgres=# create role foo with login password 'bar' nocreatedb nocreaterole;
CREATE ROLE
postgres=# set role foo;
SET
postgres=> create role win with login password 'amp' nocreatedb nocreaterole;
ERROR: permission denied to create role
postgres=> set role nd;
SET
postgres=# grant usage on schema nd to foo;
GRANT
postgres=# grant execute on function nd.fn_create_role(text, text, text[]) to foo;
GRANT
postgres=# set role foo;
SET
postgres=> select nd.fn_create_role('win', 'amp', '{db1}');
┌────────────────┐
│ fn_create_role │
╞════════════════╡
│ │
└────────────────┘
(1 row)
並在終端:
$ psql -h localhost -d db1 -U win Password for user win: psql (9.6.3) SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off) Type "help" for help. [email protected]=> \q $ psql -h localhost -d db2 -U win Password for user win: psql: FATAL: permission denied for database "db2" DETAIL: User does not have CONNECT privilege.
2
根據數據庫羣集創建角色,按照doc而不是數據庫創建角色。如果您將這種強大的權利授予用戶,他將能夠在集羣的每個數據庫中創建可用的角色。
由於您需要授予角色權限,因此您可以確保將來自單個數據庫的內容分配給該角色。
相關問題
- 1. 限制控制器到特定區域只有
- 2. Postgres分區?
- 3. 如何限制行號到特定區域
- 4. 是否可以將CloudFront限制到特定區域?
- 5. iOS - 如何限制MapView到特定區域?
- 6. 在Postgres中,如何限制特定列的可能值?
- 7. Postgres分區修剪
- 8. Postgres的json_agg限制
- 9. Mongodb-Ruby限制到特定字段
- 10. 將協作者限制爲僅推送到特定分支
- 11. 將UIGestureRecognizer限制在特殊區域
- 12. 阿爾特時區限制PosgreSQL
- 13. 分區特定集合
- 14. 限制特定DIV只
- 15. ActiveRecord,Postgres和分區表
- 16. (Postgres)row_number OVER分區在8.2
- 17. Postgres限制參數,默認爲無限
- 18. MySQL:創建只有特定分區權限的用戶
- 19. 將ExceptionFilterAttribute限制爲一個特定的MVC區域
- 20. Nginx:CORS限制與特定服務器塊之間的區別
- 21. 如何將以下光標限制在特定區域
- 22. 限制圖像特定區域的像素着色器
- 23. 如何將特定卡夫卡用戶分配到特定分區
- 24. 限制攝像機位置移動到特定3D對象的區域
- 25. Azure表存儲分區限制
- 26. 限制對Hive分區的訪問
- 27. 如何限制特定主機連接到pgbouncer?
- 28. 如何在Postgres中通過分區實現Oracle計數(獨特)
- 29. 限制十進制數的輸出到特定的精度
- 30. 拖放到特定區域
「_小心使用CREATEROLE特權。對於CREATEROLE角色的權限沒有繼承的概念。這意味着即使角色沒有特定的權限但允許創建其他角色,也可以使用不同於自己的特權輕鬆創建另一個角色(除了使用超級用戶特權創建角色)。例如,如果角色「用戶」具有CREATEROLE特權但不具有CREATEDB特權,但它可以使用CREATEDB特權創建新角色。因此,將具有CREATEROLE特權的角色視爲幾乎是超級用戶角色。「 – Abelisto