1.概念

1.schema是每个database中特有的。 schema概念有点像命名空间,这个逻辑空间包含若干表对象。

在DB里面,有了schema才可以创建对象,对象需要依赖于schema,默认为schema为 public

2.user是cluster级别的,它的逻辑架构位于数据库之上。可以在DB里创建与user同名的schema ,指定search_path

3.查询表时需要指定schema.tablename,表存在于某个特定schema中。

4.每个DB有自己的owner,默认为超级用户TEST

注意事项:

1.用户创建的所有对象都被创建在指定的schema(或namespace)中。其他用户可以被授予、也可以限制访问这些对象,甚至通过权限控制都不能在对应的schema中创建对象。

2.用户(或角色)是全局对象,不是定义在数据库中,而是定义在实例的级别。schema是用户在指定的数据库中创建的,其中包含数据库对象。

3.KingbaseES数据库默认有一个public schema,如果没有为对象显式地指定schema,默认使用public schema。

4.db owner不一定能操作其下面的某个schema (db里的 schema 的owner 可以指定其它user),但一般会将schema与同名的owner相关联,这就很像oracle的架构。

5.schema owner授权完成后, 不一定能操作其下面的某张表 (需要再授予表的相关权限)

6、授予某个用户select on all tables in schema XX时,需要先对用户授权usage访问schema XX,否则会出现报错Invalid operation: permission denied for schema XX;

grant usage on schema ce to owner_2;

grant select on all tables in schema ce to owner_2;

7、以上第6项用户只能查询该schema下已经存在的表,无法查询该schema下新建的表. 如果想对该schema下新建的表也获得权限,需要将该schema的owner授权给用户

如:

alter default privileges for user ce_owner in schema ce grant select on tables to owner_2;

--以后schema ce的owner ce_owner在schema ce下新建的表,用户owner_2都可以访问

alter default privileges in schema ce grant select on tables to owner_2;

--当前用户执行如上语句后,此用户在ce下新建的任何表,owner_2都可以访问(其他用户创建的表,owner_2不能访问)

alter default privileges for user user1,user2 in schema ce grant select on tables to owner_2;

--以后user1,user2在schema ce下新建的表,用户owner_2都可以访问

备注:目前没有一种方法,可以使以后任何用户在ce下新建的表,owner_2都可以访问。

2.测试

2.1 测试search_path对schema下创建对象的影响

[](javascript:void(0)

#创建wy用户,2个db 

TEST=#CREATE USER wy WITH PASSWORD 'wy';

TEST=#CREATE DATABASE wydb OWNER wy;

TEST=#GRANT ALL PRIVILEGES ON DATABASE wydb TO wy;

TEST=#CREATE DATABASE wydb2 OWNER wy;

TEST=#GRANT ALL PRIVILEGES ON DATABASE wydb2 TO wy; 

TEST=# \l

                               List of databases

   Name    | Owner  | Encoding |   Collate   |    Ctype    | Access privileges

-----------+--------+----------+-------------+-------------+-------------------

 security  | system | UTF8     | en_US.UTF-8 | en_US.UTF-8 |

 template0 | system | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =c/system        +

           |        |          |             |             | system=CTc/system

 template1 | system | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =c/system        +

           |        |          |             |             | system=CTc/system

 test      | system | UTF8     | en_US.UTF-8 | en_US.UTF-8 |

 test1     | system | GBK      | zh_CN.GBK   | zh_CN.GBK   |

 wydb      | wy     | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =Tc/wy           +

           |        |          |             |             | wy=CTc/wy

 wydb2     | wy     | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =Tc/wy           +

           |        |          |             |             | wy=CTc/wy

(7 rows)

ksql  -U wy -d wydb

wydb=> create table t1(a int);

wydb=> \dt

       List of relations

 Schema | Name | Type  | Owner

--------+------+-------+-------

 public | t1   | table | wy

(1 row)

#创建和用户同名的schema wy

wydb=>  create schema wy;

CREATE SCHEMA

wydb=> create table t2(a int);

CREATE TABLE

wydb=> \dt

       List of relations

 Schema | Name | Type  | Owner

--------+------+-------+-------

 public | t1   | table | wy

 wy     | t2   | table | wy

(2 rows)

#因为search_path的设置如下,所以创建的表t2默认在schema wy下

wydb=> show search_path;

   search_path

-----------------

 "$user", public

(1 row)

#创建新的schema为wysc, 我们发现新创建的schema, owner默认是我们的username

create schema wysc;

wydb=> \dn

  List of schemas

  Name  |  Owner

--------+----------

 wy   | wy

 wysc | wy

 public | system

(3 rows)

#设置search_path

set search_path = 'wysc',"$user",public;

wydb=> show search_path ;

       search_path

-------------------------

 wysc, "$user", public

(1 row)

#创建T3表 指定wysc

wydb=>  create table wysc.t3(a int);

CREATE TABLE

wydb=> \dt

       List of relations

 Schema | Name | Type  | Owner

--------+------+-------+-------

 public | t1   | table | wy

 wy     | t2   | table | wy

 wysc   | t3   | table | wy

(3 rows)

#由于设置了search_path,此时即使创建表不加模式名前缀,新表的所属schema也是wysc

wydb=> create table t4(a int );

CREATE TABLE

wydb=> \dt

       List of relations

 Schema | Name | Type  | Owner

--------+------+-------+-------

 public | t1   | table | wy

 wy     | t2   | table | wy

 wysc   | t3   | table | wy

 wysc   | t4   | table | wy

[](javascript:void(0)

2.2测试不同user之间的对象访问权限

[](javascript:void(0)

#新创建用户wy2,新把wydb2授权给wy2;即wydb2同时授权给wy,wy2两个用户

TEST=#  CREATE USER wy2 WITH PASSWORD 'wy2';

CREATE ROLE

TEST=#

TEST=#  GRANT ALL PRIVILEGES ON DATABASE wydb2 TO wy2;

GRANT

TEST=# \l

                               List of databases

   Name    | Owner  | Encoding |   Collate   |    Ctype    | Access privileges

-----------+--------+----------+-------------+-------------+-------------------

 wydb      | wy     | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =Tc/wy           +

           |        |          |             |             | wy=CTc/wy

 wydb2     | wy     | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =Tc/wy           +

           |        |          |             |             | wy=CTc/wy        +

           |        |          |             |             | wy2=CTc/wy

(7 rows)

#以wy2 用户在wydb2中创建schema  testsc指定owner 为wy

TEST=# GRANT "wy" to wy2;

GRANT ROLE

#授权后,wy2在wy的member里

TEST=# \du

                                    List of roles

 Role name |                         Attributes                         | Member of

-----------+------------------------------------------------------------+------------

 wy        |                                                            | {}

 wy2       |                                                            | {wy}

ksql -U wy2 -d wydb2

wydb2=> create schema testsc AUTHORIZATION wy;

CREATE SCHEMA

wydb2=> \dn

  List of schemas

  Name  |  Owner

--------+----------

 public | system

 testsc | wy

(2 rows)

set search_path = 'testsc',"$user",public;

#创建T5表指定testsc 

wydb2=>  create table testsc.t5(a int);

CREATE TABLE

wydb2=> \dt

       List of relations

 Schema | Name | Type  | Owner

--------+------+-------+-------

 testsc | t5   | table | wy2

(1 row)

wydb2=> select user;

 user

------

 wy2

(1 row)

wydb2=> select * from testsc.t5;

 a

---

(0 rows)

#可以看到,这时虽然Schema的Owner是wy  ,但table的owner还是wy2,所以用wy是查不到t5的

ksql -U wy  -d wydb2

wydb2=>  select * from testsc.t5;

ERROR:  permission denied for table t5

#更改t5表的owner为wy后可以查询

ksql  -U wy2  -d wydb2

wydb2=>  alter table testsc.t5 OWNER TO wy;

ALTER TABLE

wydb2=> \dt testsc.t5

       List of relations

 Schema | Name | Type  | Owner

--------+------+-------+-------

 testsc | t5   | table | wy

(1 row)

#再次以wy用户登录可以查询

ksql  -U wy  -d wydb2

wydb2=>  select * from testsc.t5;

 a

---

(0 rows)

#现在无论用wy用户,还是wy2用户都可查询,因为wydb2库里面,wy2里有wy信息的Member

wydb2=> \du

                                            List of roles

    Role name    |                         Attributes                         |       Member of

-----------------+------------------------------------------------------------+-----------------------

 wy            |                                                            | {}

 wy2           |                                                            | {wy}

#当回收wy2用户里的 wy的member 信息时,就没有权限

TEST=# revoke  "wy" from wy2;

REVOKE ROLE

TEST=# \q

ksql  -U wy2 -d wydb2

wydb2=> select * from testsc.t5;

ERROR:  permission denied for schema testsc

#这时只要同时授权这2个权限, wy2可以又访问t5这张表了

ksql  -U wy -d wydb2

grant USAGE on SCHEMA testsc to wy2 ; --授权完成后,testsc既和wy用户关联,又和wy2用户关联

grant SELECT on testsc.t5 to wy2 ;

ksql -U wy2 -d wydb2

wydb2=> select * from testsc.t5;

 a

---

(0 rows)

[](javascript:void(0)

KingbaseES中不同user之间的权限关系的更多相关文章

  1. 06 (OC)* iOS中UI类之间的继承关系

    iOS中UI类之间的继承关系 此图可以更好的让你去理解iOS中一些底层的关系.你能够了解以及理解UI类之间的继承关系,你会更加明白苹果有关于底层的东西,更有助于你的项目开发由它们的底层关系,就能更加容 ...

  2. wemall app商城源码中基于JAVA的绑定和处理fragments和viewpager之间的逻辑关系代码

    wemall doraemon是Android客户端程序,服务端采用wemall微信商城,不对原商城做任何修改,只需要在原商城目录下上传接口文件即可完成服务端的配置,客户端可随意定制修改.本文分享其中 ...

  3. Hibernate中的Entity类之间的继承关系之一MappedSuperclass

    在hibernate中,Entity类可以继承Entity类或非Entity类.但是,关系数据库表之间不存在继承的关系.那么在Entity类之间的继承关系,在数据库表中如何表示呢? Hibernate ...

  4. 斯坦福大学公开课机器学习: advice for applying machine learning | regularization and bais/variance(机器学习中方差和偏差如何相互影响、以及和算法的正则化之间的相互关系)

    算法正则化可以有效地防止过拟合, 但正则化跟算法的偏差和方差又有什么关系呢?下面主要讨论一下方差和偏差两者之间是如何相互影响的.以及和算法的正则化之间的相互关系 假如我们要对高阶的多项式进行拟合,为了 ...

  5. fleet中service之间的依赖关系

    最近有人在topcoder上提出使用fleet在集群上部署service时有时候会发现,当启动依赖于整个集群服务的service时,只会检查那个service所在机器的依赖关系,这样就会造成一些问题, ...

  6. ALSA声卡驱动中的DAPM详解之五:建立widget之间的连接关系

    前面我们主要着重于codec.platform.machine驱动程序中如何使用和建立dapm所需要的widget,route,这些是音频驱动开发人员必须要了解的内容,经过前几章的介绍,我们应该知道如 ...

  7. 在VS中建立.aspx,.cs,.designer.cs之间的级联关系

    <Compile Include="..\Admin\Actions.aspx.cs"> <DependentUpon>Actions.aspx</D ...

  8. Android中的安全与访问权限控制

    Android是一个多进程系统,在这个系统中,应用程序(或者系统的部分)会在自己的进程中运行.系统和应用之间的安全性是通过Linux的facilities(工具,功能)在进程级别来强制实现的,比如会给 ...

  9. 关于如何在你的Web项目中实现对空间数据访问权限的控制(一)

    Wednesday, 23 JUNE 近来一直在研究关于如何在我的WebGIS项目中实现对空间数据(已发布在GeoServer上)进行权限管理的问题.虽然到目前为止没能找到一个完美的解决方案,但通过这 ...

  10. vue3,后台管理列表页面各组件之间的状态关系

    技术栈 vite2 vue 3.0.5 vue-router 4.0.6 vue-data-state 0.1.1 element-plus 1.0.2-beta.39 前情回顾 表单控件 查询控件 ...

随机推荐

  1. java 打包jar文件实战

    本文只介绍实用步骤,预备知识请自查阅: 参考资料: http://docs.oracle.com/javase/tutorial/deployment/jar/appman.html http://w ...

  2. Java I/O 教程(三) FileOutputStream类

    Java FileOutputStream 用于将字节数据写入文件. 如果你需要将原始数据写入文件,就使用FileOutputStream类. Java.io.FileOutputStream cla ...

  3. kafka学习笔记03-消息生产者producer

    kafka学习笔记03-消息生产者producer 发送消息整体流程示意图 消息发送的流程示意图: (From:High-level overview of Kafka producer compon ...

  4. gin框架中的c.Next()/c.Abort()

    package main import ( "fmt" "github.com/gin-gonic/gin" ) func func1(c *gin.Conte ...

  5. django1.11和django2.2中namespace的用法

    django1.11中namespace用法 urlpatterns = [ url(r'^user/', include('user.urls', namespace='user')) ] djan ...

  6. 使用二进制重排 & Clang插桩技术点来进行iOS冷启动进行优化

    1.冷启动 1.1 什么是冷启动? 冷启动是指内存中不包含该应用程序相关的数据,必须要从磁盘载入到内存中的启动过程. 注意:重新打开 APP, 不一定就是冷启动. 当内存不足,APP被系统自动杀死后, ...

  7. Oracle不走索引的原因

    Oracle数据库操作中,为什么有时一个表的某个字段明明有索引,当观察一些语的执行计划确不走索引呢?如何解决呢?本文我们主要就介绍这部分内容,接下来就让我们一起来了解一下 . 不走索引大体有以下几个原 ...

  8. 【Azure App Service for Container】记一次拉取镜像失败的特殊情况

    问题描述 使用Azure App Service For Container 拉取 应用镜像,发现拉取失败. 错误消息: "Image pull failed since Inspect i ...

  9. Java 常用类 String的常用方法(3)

    1 /** 2 * String常用方法3 3 * 替换: 4 * String replace(char oldChar,char newChar): 返回一个新的字符串,它是通过 5 * 用new ...

  10. 蓬莱enclave TEE编译和运行说明

    蓬莱enclave-spmp 编译和运行说明 蓬莱是一个RISC-V TEE系统,其设计具有安全性,高性能和可扩展性.基于PMP的OpenSBI版本的蓬莱Enclave使用可以参考下文,具体仓库地址为 ...