目前PostgreSQL并不能像MySQL一样直接对某个数据库赋予只读权限,现实中有研发需要新建一个用户然后赋予对某个数据库只读权限。

举例说明如何创建

用edbstore用户连接edbstore数据库,并创建一个测试schema

$ psql -U edbstore edbstore
psql (9.6.4)
Type "help" for help. edbstore=> create schema ota_data;
CREATE SCHEMA
edbstore=> \dn ota_data
List of schemas
Name | Owner
----------+----------
ota_data | edbstore
(1 row)

在测试schema下创建一张测试表并插入部分数据

edbstore=> set search_path to ota_data ;
SET
edbstore=> show search_path ;
search_path
-------------
ota_data
(1 row) edbstore=> create table tb1(name varchar,age int);
CREATE TABLE
edbstore=> insert into tb1 values('chris',23);
INSERT 0 1
edbstore=> insert into tb1 values('tonny',25);
INSERT 0 1
edbstore=> select * from tb1;
name | age
-------+-----
chris | 23
tonny | 25
(2 rows)

现在新建一个readonly用户并尝试访问edbstore用户下新建的测试数据

postgres=# create role readonly password 'readonly' login;
CREATE ROLE
$ export PGPASSWORD=readonly
$ psql -h 172.16.101.66 -U readonly edbstore
psql (9.6.)
Type "help" for help. edbstore=> set search_path to ota_data ;
SET
edbstore=> \d
No relations found.

可以看到默认情况下新用户readonly是无法看到edbstore用户下的数据的,现在赋予用户readonly查看schema对象的权限

edbstore=> GRANT USAGE ON SCHEMA ota_data TO readonly;
GRANT

readonly用户再次查看

edbstore=> \d
List of relations
Schema | Name | Type | Owner
----------+------+-------+----------
ota_data | tb1 | table | edbstore
(1 row) edbstore=> select * from tb1 ;
ERROR: permission denied for relation tb1

可以看到虽然用户可以查看到该对象,但是没用select权限,现在进行赋权

edbstore=> \dp
Access privileges
Schema | Name | Type | Access privileges | Column privileges | Policies
----------+------+-------+-------------------+-------------------+----------
ota_data | tb1 | table | | |
(1 row) edbstore=> GRANT SELECT ON ALL TABLES IN SCHEMA ota_data TO readonly;
GRANT
edbstore=> \dp
Access privileges
Schema | Name | Type | Access privileges | Column privileges | Policies
----------+------+-------+---------------------------+-------------------+----------
ota_data | tb1 | table | edbstore=arwdDxt/edbstore+| |
| | | readonly=r/edbstore | |
(1 row)

readonly用户再次查看

edbstore=> select * from tb1 ;
name | age
-------+-----
chris | 23
tonny | 25
(2 rows) edbstore=> insert into tb1 values('tina',19);
ERROR: permission denied for relation tb1

该命令只能对已经存在的对象(表,视图等)赋权,新建立的表,readonly用户是无法查看的,新建一张表

edbstore=> create table tb2 as select * from tb1;
SELECT 2
edbstore=> \dp
Access privileges
Schema | Name | Type | Access privileges | Column privileges | Policies
----------+------+-------+---------------------------+-------------------+----------
ota_data | tb1 | table | edbstore=arwdDxt/edbstore+| |
| | | readonly=r/edbstore | |
ota_data | tb2 | table | | |
(2 rows)

readonly用户再次查看

edbstore=> \d
List of relations
Schema | Name | Type | Owner
----------+------+-------+----------
ota_data | tb1 | table | edbstore
ota_data | tb2 | table | edbstore
(2 rows) edbstore=> select * from tb2;
ERROR: permission denied for relation tb2

为了让readonly用户可以有权限继续查看新建的表,需要为该新建的schema指定default权限

edbstore=> ALTER DEFAULT PRIVILEGES IN SCHEMA ota_data GRANT SELECT ON TABLES TO readonly;
ALTER DEFAULT PRIVILEGES
edbstore=> \ddp
Default access privileges
Owner | Schema | Type | Access privileges
----------+----------+-------+---------------------
edbstore | ota_data | table | readonly=r/edbstore
(1 row) edbstore=> create table tb3 as select * from tb1;
SELECT 2
edbstore=> \dp
Access privileges
Schema | Name | Type | Access privileges | Column privileges | Policies
----------+------+-------+---------------------------+-------------------+----------
ota_data | tb1 | table | edbstore=arwdDxt/edbstore+| |
| | | readonly=r/edbstore | |
ota_data | tb2 | table | | |
ota_data | tb3 | table | edbstore=arwdDxt/edbstore+| |
| | | readonly=r/edbstore | |
(3 rows)

可以看到新建的表tb3会自动继承我们给该schema下的表预定义的select权限。

edbstore=> select * from information_schema.role_table_grants where grantee='readonly';
grantor | grantee | table_catalog | table_schema | table_name | privilege_type | is_grantable | with_hierarchy
----------+----------+---------------+--------------+------------+----------------+--------------+----------------
edbstore | readonly | edbstore | ota_data | tb1 | SELECT | NO | YES
edbstore | readonly | edbstore | ota_data | tb3 | SELECT | NO | YES
(2 rows)

如何取消该权限

alter default privileges in schema public revoke select on tables from readonly ;

关于如何对整个输几局所有schema添加权限可以参考如下命令:

select 'grant usage on schema '|| schema_name || ' to readonly ;' from information_schema.schemata;

select 'GRANT SELECT ON ALL TABLES IN SCHEMA '|| schema_name || ' TO readonly ;' from information_schema.schemata;

select 'ALTER DEFAULT PRIVILEGES IN SCHEMA '|| schema_name || ' GRANT SELECT ON TABLES TO readonly ;' from information_schema.schemata;

PostgreSQL创建只读账户的更多相关文章

  1. Mysql 创建只读账户

    mysql 创建只读账户: 1.查询所有账号信息 SELECT DISTINCT a.`User`,a.`Host`,a.password_expired,a.password_last_change ...

  2. PostgreSQL创建只读权限的用户

    1.创建只读角色 CREATE ROLE readaccess; 2.授予对现有表的访问权限 GRANT USAGE ON SCHEMA public TO readaccess; GRANT SEL ...

  3. PostgreSQL创建只读用户

    创建用户及指定密码: CREATE USER readonly WITH ENCRYPTED PASSWORD 'ropass'; 设置用户默认事务只读: alter user readonly se ...

  4. K8S dashboard 创建只读账户

    1.创建名字为“Dashboard-viewonly“的Cluster Role,各种资源只给予了list,get,watch的权限.dashboard-viewonly.yaml --- apiVe ...

  5. Azure SQL Database (25) Azure SQL Database创建只读用户

    <Windows Azure Platform 系列文章目录> 本文将介绍如何在Azure SQL Database创建只读用户. 请先按照笔者之前的文章:Azure SQL Databa ...

  6. 如何在PostgreSQL中建只读账号

    转: 如何在PostgreSQL中建只读账号 Posted on 2014-01-21 22:00:15 by osdba 在PostgreSQL中并没有CREATE TABLE权限名称,这是与其它数 ...

  7. ORACLE权限管理—创建只读账号

    创建只读用户:grant connect to user; grant create session to user; 1.创建角色 CREATE ROLE SELECT_ROLE 2.给角色分配权限 ...

  8. 给你的Kubernetes集群建一个只读账户(防止高管。。。后)

    给你的Kubernetes集群建一个只读账户 需求:我们知道搭完k8s集群会创建一个默认的管理员kubernetes-admin用户该用户拥有所以权限,有一天开发或测试的同学需要登录到k8s集群了解业 ...

  9. postgresql 设置只读用户

    postgresql 设置只读用户 ` CREATE USER readonly WITH ENCRYPTED PASSWORD 'ropass'; alter user readonly set d ...

随机推荐

  1. Linux——awk

    https://blog.csdn.net/jin970505/article/details/79056457 可以根据特定规则输出文本文件内容

  2. 23.git简单使用

    git:我主要是为了收集命令,学习请去看廖雪峰的博客,内容很详细 git客户端下载: Git是GitHub开源社区的版本管理系统: 下载地址:https://git-scm.com/download/ ...

  3. 51 Nod 线段最长重叠部分

    1091 线段的重叠  基准时间限制:1 秒 空间限制:131072 KB 分值: 5 难度:1级算法题 X轴上有N条线段,每条线段包括1个起点和终点.线段的重叠是这样来算的,[10 20]和[12 ...

  4. Java实现QQ微信轰炸机1.2(斗图乞丐版)

    之前有小可爱评论可以实现斗图的功能,原理上是行的通的,所以我就稍微改了一下,能够实现单个图片循环轰炸,如果大家感兴趣也可以自己探究实现多张图片循环轰炸,不废话了,直接上源码package QQWcha ...

  5. MongoDB4和MysSQL5.7的读/写和事务处理速度简单对比

    系统环境: Ubuntu 18.04 数据库 MysSQL5.7/MongoDB4.0 插入的数据为随机生产,不重复. MySQL使用的连接库是 sqlalchemyMongoDB使用的连接库是pym ...

  6. Docker入门-数据挂载

    Docker数据管理 在容器中管理数据主要有两种方式: 数据卷(Volumes) 挂载主机目录(Bind mounts) 数据卷 数据卷是一个可供一个或多个容器使用的特殊目录,它绕过UFS,可以提供很 ...

  7. [翻译]C#中异步方法的性能特点

    翻译自一篇博文,原文:The performance characteristics of async methods in C# 异步系列 剖析C#中的异步方法 扩展C#中的异步方法 C#中异步方法 ...

  8. Consul zookeeper etcd eureka

    这里就平时经常用到的服务发现的产品进行下特性的对比,首先看下结论: Feature Consul zookeeper etcd eureka 服务健康检查 服务状态,内存,硬盘等 (弱)长连接,kee ...

  9. Java连接MQTT服务-wss方式

    特别提示:本人博客部分有参考网络其他博客,但均是本人亲手编写过并验证通过.如发现博客有错误,请及时提出以免误导其他人,谢谢!欢迎转载,但记得标明文章出处:http://www.cnblogs.com/ ...

  10. vue动态构造下拉

    在点击菜单的进入后台初始化方法 @RequestMapping("/init") public String init(@ModelAttribute("response ...