KingbaseES中不同user之间的权限关系

1.概念

1.schema是每个database中特有的。 schema概念有点像命名空间，这个逻辑空间包含若干表对象。

在DB里面，有了schema才可以创建对象，对象需要依赖于schema，默认为schema为 public

2.user是cluster级别的，它的逻辑架构位于数据库之上。可以在DB里创建与user同名的schema ,指定search_path

3.查询表时需要指定schema.tablename，表存在于某个特定schema中。

4.每个DB有自己的owner，默认为超级用户TEST

注意事项：

1.用户创建的所有对象都被创建在指定的schema(或namespace)中。其他用户可以被授予、也可以限制访问这些对象，甚至通过权限控制都不能在对应的schema中创建对象。

2.用户(或角色)是全局对象，不是定义在数据库中，而是定义在实例的级别。schema是用户在指定的数据库中创建的，其中包含数据库对象。

3.KingbaseES数据库默认有一个public schema，如果没有为对象显式地指定schema，默认使用public schema。

4.db owner不一定能操作其下面的某个schema (db里的 schema 的owner 可以指定其它user)，但一般会将schema与同名的owner相关联，这就很像oracle的架构。

5.schema owner授权完成后， 不一定能操作其下面的某张表 (需要再授予表的相关权限)

6、授予某个用户select on all tables in schema XX时，需要先对用户授权usage访问schema XX，否则会出现报错Invalid operation: permission denied for schema XX;

grant usage on schema ce to owner_2;

grant select on all tables in schema ce to owner_2;

7、以上第6项用户只能查询该schema下已经存在的表，无法查询该schema下新建的表. 如果想对该schema下新建的表也获得权限，需要将该schema的owner授权给用户

如：

alter default privileges for user ce_owner in schema ce grant select on tables to owner_2;

--以后schema ce的owner ce_owner在schema ce下新建的表,用户owner_2都可以访问

alter default privileges in schema ce grant select on tables to owner_2;

--当前用户执行如上语句后，此用户在ce下新建的任何表，owner_2都可以访问（其他用户创建的表，owner_2不能访问）

alter default privileges for user user1,user2 in schema ce grant select on tables to owner_2;

--以后user1,user2在schema ce下新建的表,用户owner_2都可以访问

备注：目前没有一种方法，可以使以后任何用户在ce下新建的表，owner_2都可以访问。

2.测试

2.1 测试search_path对schema下创建对象的影响

[](javascript:void(0)

#创建wy用户，2个db 

TEST=#CREATE USER wy WITH PASSWORD 'wy';
TEST=#CREATE DATABASE wydb OWNER wy;
TEST=#GRANT ALL PRIVILEGES ON DATABASE wydb TO wy;

TEST=#CREATE DATABASE wydb2 OWNER wy;
TEST=#GRANT ALL PRIVILEGES ON DATABASE wydb2 TO wy; 

TEST=# \l
                               List of databases
   Name    | Owner  | Encoding |   Collate   |    Ctype    | Access privileges
-----------+--------+----------+-------------+-------------+-------------------
 security  | system | UTF8     | en_US.UTF-8 | en_US.UTF-8 |
 template0 | system | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =c/system        +
           |        |          |             |             | system=CTc/system
 template1 | system | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =c/system        +
           |        |          |             |             | system=CTc/system
 test      | system | UTF8     | en_US.UTF-8 | en_US.UTF-8 |
 test1     | system | GBK      | zh_CN.GBK   | zh_CN.GBK   |
 wydb      | wy     | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =Tc/wy           +
           |        |          |             |             | wy=CTc/wy
 wydb2     | wy     | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =Tc/wy           +
           |        |          |             |             | wy=CTc/wy
(7 rows)

ksql  -U wy -d wydb

wydb=> create table t1(a int);

wydb=> \dt
       List of relations
 Schema | Name | Type  | Owner
--------+------+-------+-------
 public | t1   | table | wy
(1 row)

#创建和用户同名的schema wy
wydb=>  create schema wy;
CREATE SCHEMA
wydb=> create table t2(a int);
CREATE TABLE

wydb=> \dt
       List of relations
 Schema | Name | Type  | Owner
--------+------+-------+-------
 public | t1   | table | wy
 wy     | t2   | table | wy
(2 rows)

#因为search_path的设置如下，所以创建的表t2默认在schema wy下
wydb=> show search_path;
   search_path
-----------------
 "$user", public
(1 row)

#创建新的schema为wysc, 我们发现新创建的schema， owner默认是我们的username
create schema wysc;
wydb=> \dn
  List of schemas
  Name  |  Owner
--------+----------
 wy   | wy
 wysc | wy
 public | system
(3 rows)

#设置search_path
set search_path = 'wysc',"$user",public;
wydb=> show search_path ;
       search_path
-------------------------
 wysc, "$user", public
(1 row)

#创建T3表 指定wysc
wydb=>  create table wysc.t3(a int);
CREATE TABLE
wydb=> \dt
       List of relations
 Schema | Name | Type  | Owner
--------+------+-------+-------
 public | t1   | table | wy
 wy     | t2   | table | wy
 wysc   | t3   | table | wy
(3 rows)

#由于设置了search_path,此时即使创建表不加模式名前缀，新表的所属schema也是wysc
wydb=> create table t4(a int );
CREATE TABLE
wydb=> \dt
       List of relations
 Schema | Name | Type  | Owner
--------+------+-------+-------
 public | t1   | table | wy
 wy     | t2   | table | wy
 wysc   | t3   | table | wy
 wysc   | t4   | table | wy

[](javascript:void(0)

2.2测试不同user之间的对象访问权限

[](javascript:void(0)

#新创建用户wy2,新把wydb2授权给wy2;即wydb2同时授权给wy,wy2两个用户

TEST=#  CREATE USER wy2 WITH PASSWORD 'wy2';
CREATE ROLE
TEST=#
TEST=#  GRANT ALL PRIVILEGES ON DATABASE wydb2 TO wy2;
GRANT

TEST=# \l
                               List of databases
   Name    | Owner  | Encoding |   Collate   |    Ctype    | Access privileges
-----------+--------+----------+-------------+-------------+-------------------
 wydb      | wy     | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =Tc/wy           +
           |        |          |             |             | wy=CTc/wy
 wydb2     | wy     | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =Tc/wy           +
           |        |          |             |             | wy=CTc/wy        +
           |        |          |             |             | wy2=CTc/wy
(7 rows)

#以wy2 用户在wydb2中创建schema  testsc指定owner 为wy
TEST=# GRANT "wy" to wy2;
GRANT ROLE

#授权后，wy2在wy的member里
TEST=# \du
                                    List of roles
 Role name |                         Attributes                         | Member of
-----------+------------------------------------------------------------+------------
 wy        |                                                            | {}
 wy2       |                                                            | {wy}

ksql -U wy2 -d wydb2

wydb2=> create schema testsc AUTHORIZATION wy;
CREATE SCHEMA

wydb2=> \dn
  List of schemas
  Name  |  Owner
--------+----------
 public | system
 testsc | wy
(2 rows)

set search_path = 'testsc',"$user",public;

#创建T5表指定testsc 

wydb2=>  create table testsc.t5(a int);
CREATE TABLE
wydb2=> \dt
       List of relations
 Schema | Name | Type  | Owner
--------+------+-------+-------
 testsc | t5   | table | wy2
(1 row)

wydb2=> select user;
 user
------
 wy2
(1 row)

wydb2=> select * from testsc.t5;
 a
---
(0 rows)

#可以看到，这时虽然Schema的Owner是wy  ,但table的owner还是wy2，所以用wy是查不到t5的
ksql -U wy  -d wydb2

wydb2=>  select * from testsc.t5;
ERROR:  permission denied for table t5

#更改t5表的owner为wy后可以查询
ksql  -U wy2  -d wydb2

wydb2=>  alter table testsc.t5 OWNER TO wy;
ALTER TABLE
wydb2=> \dt testsc.t5
       List of relations
 Schema | Name | Type  | Owner
--------+------+-------+-------
 testsc | t5   | table | wy
(1 row)

#再次以wy用户登录可以查询
ksql  -U wy  -d wydb2

wydb2=>  select * from testsc.t5;
 a
---
(0 rows)

#现在无论用wy用户，还是wy2用户都可查询，因为wydb2库里面，wy2里有wy信息的Member
wydb2=> \du
                                            List of roles
    Role name    |                         Attributes                         |       Member of
-----------------+------------------------------------------------------------+-----------------------
 wy            |                                                            | {}
 wy2           |                                                            | {wy}

#当回收wy2用户里的 wy的member 信息时，就没有权限

TEST=# revoke  "wy" from wy2;
REVOKE ROLE
TEST=# \q
ksql  -U wy2 -d wydb2

wydb2=> select * from testsc.t5;
ERROR:  permission denied for schema testsc

#这时只要同时授权这2个权限， wy2可以又访问t5这张表了

ksql  -U wy -d wydb2

grant USAGE on SCHEMA testsc to wy2 ; --授权完成后，testsc既和wy用户关联，又和wy2用户关联

grant SELECT on testsc.t5 to wy2 ;

ksql -U wy2 -d wydb2

wydb2=> select * from testsc.t5;
 a
---
(0 rows)

[](javascript:void(0)