1.概念

1.schema是每个database中特有的。 schema概念有点像命名空间,这个逻辑空间包含若干表对象。

在DB里面,有了schema才可以创建对象,对象需要依赖于schema,默认为schema为 public

2.user是cluster级别的,它的逻辑架构位于数据库之上。可以在DB里创建与user同名的schema ,指定search_path

3.查询表时需要指定schema.tablename,表存在于某个特定schema中。

4.每个DB有自己的owner,默认为超级用户TEST

注意事项:

1.用户创建的所有对象都被创建在指定的schema(或namespace)中。其他用户可以被授予、也可以限制访问这些对象,甚至通过权限控制都不能在对应的schema中创建对象。

2.用户(或角色)是全局对象,不是定义在数据库中,而是定义在实例的级别。schema是用户在指定的数据库中创建的,其中包含数据库对象。

3.KingbaseES数据库默认有一个public schema,如果没有为对象显式地指定schema,默认使用public schema。

4.db owner不一定能操作其下面的某个schema (db里的 schema 的owner 可以指定其它user),但一般会将schema与同名的owner相关联,这就很像oracle的架构。

5.schema owner授权完成后, 不一定能操作其下面的某张表 (需要再授予表的相关权限)

6、授予某个用户select on all tables in schema XX时,需要先对用户授权usage访问schema XX,否则会出现报错Invalid operation: permission denied for schema XX;

grant usage on schema ce to owner_2;

grant select on all tables in schema ce to owner_2;

7、以上第6项用户只能查询该schema下已经存在的表,无法查询该schema下新建的表. 如果想对该schema下新建的表也获得权限,需要将该schema的owner授权给用户

如:

alter default privileges for user ce_owner in schema ce grant select on tables to owner_2;

--以后schema ce的owner ce_owner在schema ce下新建的表,用户owner_2都可以访问

alter default privileges in schema ce grant select on tables to owner_2;

--当前用户执行如上语句后,此用户在ce下新建的任何表,owner_2都可以访问(其他用户创建的表,owner_2不能访问)

alter default privileges for user user1,user2 in schema ce grant select on tables to owner_2;

--以后user1,user2在schema ce下新建的表,用户owner_2都可以访问

备注:目前没有一种方法,可以使以后任何用户在ce下新建的表,owner_2都可以访问。

2.测试

2.1 测试search_path对schema下创建对象的影响

[](javascript:void(0)

#创建wy用户,2个db 

TEST=#CREATE USER wy WITH PASSWORD 'wy';

TEST=#CREATE DATABASE wydb OWNER wy;

TEST=#GRANT ALL PRIVILEGES ON DATABASE wydb TO wy;

TEST=#CREATE DATABASE wydb2 OWNER wy;

TEST=#GRANT ALL PRIVILEGES ON DATABASE wydb2 TO wy; 

TEST=# \l

                               List of databases

   Name    | Owner  | Encoding |   Collate   |    Ctype    | Access privileges

-----------+--------+----------+-------------+-------------+-------------------

 security  | system | UTF8     | en_US.UTF-8 | en_US.UTF-8 |

 template0 | system | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =c/system        +

           |        |          |             |             | system=CTc/system

 template1 | system | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =c/system        +

           |        |          |             |             | system=CTc/system

 test      | system | UTF8     | en_US.UTF-8 | en_US.UTF-8 |

 test1     | system | GBK      | zh_CN.GBK   | zh_CN.GBK   |

 wydb      | wy     | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =Tc/wy           +

           |        |          |             |             | wy=CTc/wy

 wydb2     | wy     | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =Tc/wy           +

           |        |          |             |             | wy=CTc/wy

(7 rows)

ksql  -U wy -d wydb

wydb=> create table t1(a int);

wydb=> \dt

       List of relations

 Schema | Name | Type  | Owner

--------+------+-------+-------

 public | t1   | table | wy

(1 row)

#创建和用户同名的schema wy

wydb=>  create schema wy;

CREATE SCHEMA

wydb=> create table t2(a int);

CREATE TABLE

wydb=> \dt

       List of relations

 Schema | Name | Type  | Owner

--------+------+-------+-------

 public | t1   | table | wy

 wy     | t2   | table | wy

(2 rows)

#因为search_path的设置如下,所以创建的表t2默认在schema wy下

wydb=> show search_path;

   search_path

-----------------

 "$user", public

(1 row)

#创建新的schema为wysc, 我们发现新创建的schema, owner默认是我们的username

create schema wysc;

wydb=> \dn

  List of schemas

  Name  |  Owner

--------+----------

 wy   | wy

 wysc | wy

 public | system

(3 rows)

#设置search_path

set search_path = 'wysc',"$user",public;

wydb=> show search_path ;

       search_path

-------------------------

 wysc, "$user", public

(1 row)

#创建T3表 指定wysc

wydb=>  create table wysc.t3(a int);

CREATE TABLE

wydb=> \dt

       List of relations

 Schema | Name | Type  | Owner

--------+------+-------+-------

 public | t1   | table | wy

 wy     | t2   | table | wy

 wysc   | t3   | table | wy

(3 rows)

#由于设置了search_path,此时即使创建表不加模式名前缀,新表的所属schema也是wysc

wydb=> create table t4(a int );

CREATE TABLE

wydb=> \dt

       List of relations

 Schema | Name | Type  | Owner

--------+------+-------+-------

 public | t1   | table | wy

 wy     | t2   | table | wy

 wysc   | t3   | table | wy

 wysc   | t4   | table | wy

[](javascript:void(0)

2.2测试不同user之间的对象访问权限

[](javascript:void(0)

#新创建用户wy2,新把wydb2授权给wy2;即wydb2同时授权给wy,wy2两个用户

TEST=#  CREATE USER wy2 WITH PASSWORD 'wy2';

CREATE ROLE

TEST=#

TEST=#  GRANT ALL PRIVILEGES ON DATABASE wydb2 TO wy2;

GRANT

TEST=# \l

                               List of databases

   Name    | Owner  | Encoding |   Collate   |    Ctype    | Access privileges

-----------+--------+----------+-------------+-------------+-------------------

 wydb      | wy     | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =Tc/wy           +

           |        |          |             |             | wy=CTc/wy

 wydb2     | wy     | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =Tc/wy           +

           |        |          |             |             | wy=CTc/wy        +

           |        |          |             |             | wy2=CTc/wy

(7 rows)

#以wy2 用户在wydb2中创建schema  testsc指定owner 为wy

TEST=# GRANT "wy" to wy2;

GRANT ROLE

#授权后,wy2在wy的member里

TEST=# \du

                                    List of roles

 Role name |                         Attributes                         | Member of

-----------+------------------------------------------------------------+------------

 wy        |                                                            | {}

 wy2       |                                                            | {wy}

ksql -U wy2 -d wydb2

wydb2=> create schema testsc AUTHORIZATION wy;

CREATE SCHEMA

wydb2=> \dn

  List of schemas

  Name  |  Owner

--------+----------

 public | system

 testsc | wy

(2 rows)

set search_path = 'testsc',"$user",public;

#创建T5表指定testsc 

wydb2=>  create table testsc.t5(a int);

CREATE TABLE

wydb2=> \dt

       List of relations

 Schema | Name | Type  | Owner

--------+------+-------+-------

 testsc | t5   | table | wy2

(1 row)

wydb2=> select user;

 user

------

 wy2

(1 row)

wydb2=> select * from testsc.t5;

 a

---

(0 rows)

#可以看到,这时虽然Schema的Owner是wy  ,但table的owner还是wy2,所以用wy是查不到t5的

ksql -U wy  -d wydb2

wydb2=>  select * from testsc.t5;

ERROR:  permission denied for table t5

#更改t5表的owner为wy后可以查询

ksql  -U wy2  -d wydb2

wydb2=>  alter table testsc.t5 OWNER TO wy;

ALTER TABLE

wydb2=> \dt testsc.t5

       List of relations

 Schema | Name | Type  | Owner

--------+------+-------+-------

 testsc | t5   | table | wy

(1 row)

#再次以wy用户登录可以查询

ksql  -U wy  -d wydb2

wydb2=>  select * from testsc.t5;

 a

---

(0 rows)

#现在无论用wy用户,还是wy2用户都可查询,因为wydb2库里面,wy2里有wy信息的Member

wydb2=> \du

                                            List of roles

    Role name    |                         Attributes                         |       Member of

-----------------+------------------------------------------------------------+-----------------------

 wy            |                                                            | {}

 wy2           |                                                            | {wy}

#当回收wy2用户里的 wy的member 信息时,就没有权限

TEST=# revoke  "wy" from wy2;

REVOKE ROLE

TEST=# \q

ksql  -U wy2 -d wydb2

wydb2=> select * from testsc.t5;

ERROR:  permission denied for schema testsc

#这时只要同时授权这2个权限, wy2可以又访问t5这张表了

ksql  -U wy -d wydb2

grant USAGE on SCHEMA testsc to wy2 ; --授权完成后,testsc既和wy用户关联,又和wy2用户关联

grant SELECT on testsc.t5 to wy2 ;

ksql -U wy2 -d wydb2

wydb2=> select * from testsc.t5;

 a

---

(0 rows)

[](javascript:void(0)

KingbaseES中不同user之间的权限关系的更多相关文章

  1. 06 (OC)* iOS中UI类之间的继承关系

    iOS中UI类之间的继承关系 此图可以更好的让你去理解iOS中一些底层的关系.你能够了解以及理解UI类之间的继承关系,你会更加明白苹果有关于底层的东西,更有助于你的项目开发由它们的底层关系,就能更加容 ...

  2. wemall app商城源码中基于JAVA的绑定和处理fragments和viewpager之间的逻辑关系代码

    wemall doraemon是Android客户端程序,服务端采用wemall微信商城,不对原商城做任何修改,只需要在原商城目录下上传接口文件即可完成服务端的配置,客户端可随意定制修改.本文分享其中 ...

  3. Hibernate中的Entity类之间的继承关系之一MappedSuperclass

    在hibernate中,Entity类可以继承Entity类或非Entity类.但是,关系数据库表之间不存在继承的关系.那么在Entity类之间的继承关系,在数据库表中如何表示呢? Hibernate ...

  4. 斯坦福大学公开课机器学习: advice for applying machine learning | regularization and bais/variance(机器学习中方差和偏差如何相互影响、以及和算法的正则化之间的相互关系)

    算法正则化可以有效地防止过拟合, 但正则化跟算法的偏差和方差又有什么关系呢?下面主要讨论一下方差和偏差两者之间是如何相互影响的.以及和算法的正则化之间的相互关系 假如我们要对高阶的多项式进行拟合,为了 ...

  5. fleet中service之间的依赖关系

    最近有人在topcoder上提出使用fleet在集群上部署service时有时候会发现,当启动依赖于整个集群服务的service时,只会检查那个service所在机器的依赖关系,这样就会造成一些问题, ...

  6. ALSA声卡驱动中的DAPM详解之五:建立widget之间的连接关系

    前面我们主要着重于codec.platform.machine驱动程序中如何使用和建立dapm所需要的widget,route,这些是音频驱动开发人员必须要了解的内容,经过前几章的介绍,我们应该知道如 ...

  7. 在VS中建立.aspx,.cs,.designer.cs之间的级联关系

    <Compile Include="..\Admin\Actions.aspx.cs"> <DependentUpon>Actions.aspx</D ...

  8. Android中的安全与访问权限控制

    Android是一个多进程系统,在这个系统中,应用程序(或者系统的部分)会在自己的进程中运行.系统和应用之间的安全性是通过Linux的facilities(工具,功能)在进程级别来强制实现的,比如会给 ...

  9. 关于如何在你的Web项目中实现对空间数据访问权限的控制(一)

    Wednesday, 23 JUNE 近来一直在研究关于如何在我的WebGIS项目中实现对空间数据(已发布在GeoServer上)进行权限管理的问题.虽然到目前为止没能找到一个完美的解决方案,但通过这 ...

  10. vue3,后台管理列表页面各组件之间的状态关系

    技术栈 vite2 vue 3.0.5 vue-router 4.0.6 vue-data-state 0.1.1 element-plus 1.0.2-beta.39 前情回顾 表单控件 查询控件 ...

随机推荐

  1. 【Unity3D】花瓣特效

    1 花瓣绘制原理 ​ 如下图是实现的花瓣特效效果,为方便描述,我们将每个红色的扁状长条称为花瓣,每个花瓣中心的绿点称为花蕊,花朵的正中心称为花心. ​ 我们在 xOz 平面上绘制花朵,假设花心为 O ...

  2. 正则表达式(Regular Expression)详解

    1 前言 正则表达式主要用于复杂文本处理,如模式匹配.格式检验.文本替换等.常用的通配符有: ^, $, *, ., , -, +, ?, &, |, (), [], {} 2 String中 ...

  3. Oracle 12c中增强的PL/SQL功能

    英文链接:http://www.oracle.com/technetwork/issue-archive/2013/13-sep/o53plsql-1999801.html Oracle 12c增强了 ...

  4. std::async 与 std::thread 在什么时候使用比较合适

    前提: C++ 11 中提供了多线程的标准库,提供了管理线程.保护共享数据.线程间同步操作.原子操作等类.多线程库对应的头文件是 #include <thread>,类名为 std::th ...

  5. Windows11补丁更新后无法使用Wifi和蓝牙

    最近在我的ThinkPAD T14上更新了Windows 11补丁,重启后Wifi和蓝牙鼠标都不能使用了,无法连接Wifi网络,也无法添加蓝牙设备. 使用厂家自带的管理工具查看驱动都是最新的,一度不知 ...

  6. Alpine安装gcc g++ make编译环境

    apk add gcc g++ make cmake gfortran libffi-dev openssl-dev libtool

  7. 【LeetCode二叉树#20】二叉搜索树转换为累加树,巩固二叉树的遍历(特殊的中序遍历)

    将二叉搜索树转换为累加树 力扣题目链接(opens new window) 给出二叉 搜索 树的根节点,该树的节点值各不相同,请你将其转换为累加树(Greater Sum Tree),使每个节点 no ...

  8. Error creating bean with name 'XXX': Bean with name 'senseOneToSomeFeignImpl' has been injected into other beans [XXXXXX] in its raw version as part of a circular reference

    关于Spring框架中的循环依赖问题,您可以尝试以下几种方法来解决: 重新定义Bean依赖:重构代码以消除循环依赖.这可能涉及重新设计类,使它们不相互依赖即可运行. 使用Setter注入:与构造函数注 ...

  9. kafka节点故障恢复原理

    Kafka的LEO和HW LEO LEO是Topic每一个副本的最后的偏移量offset+1 HW(高水位线) High WaterMark是所有副本中,最小的LEO Follower副本所在节点宕机 ...

  10. 【Azure 事件中心】从Azure Event Hub中消费数据,如何查看当前消费客户端消费数据的Offset和SequenceNumber呢(消息偏移量和序列号)?

    问题描述 当通过Azure Event Hub SDK消费Event Hub中的消息时,必须指定一个Storage Account(存储账号)用于保存 Checkpoint (检查点). 比如在C#代 ...