GRANT
GRANT — определить права доступа
Синтаксис
GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER } [, ...] | ALL [ PRIVILEGES ] } ON { [ TABLE ]имя_таблицы
[, ...] | ALL TABLES IN SCHEMAимя_схемы
[, ...] } TOуказание_роли
[, ...] [ WITH GRANT OPTION ] GRANT { { SELECT | INSERT | UPDATE | REFERENCES } (имя_столбца
[, ...] ) [, ...] | ALL [ PRIVILEGES ] (имя_столбца
[, ...] ) } ON [ TABLE ]имя_таблицы
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] GRANT { { USAGE | SELECT | UPDATE } [, ...] | ALL [ PRIVILEGES ] } ON { SEQUENCEимя_последовательности
[, ...] | ALL SEQUENCES IN SCHEMAимя_схемы
[, ...] } TOуказание_роли
[, ...] [ WITH GRANT OPTION ] GRANT { { CREATE | CONNECT | TEMPORARY | TEMP } [, ...] | ALL [ PRIVILEGES ] } ON DATABASEимя_бд
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] GRANT { USAGE | ALL [ PRIVILEGES ] } ON DOMAINимя_домена
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] GRANT { USAGE | ALL [ PRIVILEGES ] } ON FOREIGN DATA WRAPPERимя_обёртки_сторонних_данных
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] GRANT { USAGE | ALL [ PRIVILEGES ] } ON FOREIGN SERVERимя_сервера
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] GRANT { EXECUTE | ALL [ PRIVILEGES ] } ON { FUNCTIONимя_функции
[ ( [ [режим_аргумента
] [имя_аргумента
]тип_аргумента
[, ...] ] ) ] [, ...] | ALL FUNCTIONS IN SCHEMAимя_схемы
[, ...] } TOуказание_роли
[, ...] [ WITH GRANT OPTION ] GRANT { USAGE | ALL [ PRIVILEGES ] } ON LANGUAGEимя_языка
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] GRANT { { SELECT | UPDATE } [, ...] | ALL [ PRIVILEGES ] } ON LARGE OBJECToid_БО
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] GRANT { { CREATE | USAGE } [, ...] | ALL [ PRIVILEGES ] } ON SCHEMAимя_схемы
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] GRANT { CREATE | ALL [ PRIVILEGES ] } ON TABLESPACEтабл_пространство
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] GRANT { USAGE | ALL [ PRIVILEGES ] } ON TYPEимя_типа
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] GRANTимя_роли
[, ...] TOуказание_роли
[, ...] [ WITH ADMIN OPTION ] [ GRANTED BYуказание_роли
] Здесьуказание_роли
: [ GROUP ]имя_роли
| PUBLIC | CURRENT_USER | SESSION_USER
Описание
Команда GRANT
имеет две основные разновидности: первая назначает права для доступа к объектам баз данных (таблицам, столбцам, представлениям, сторонним таблицам, последовательностям, базам данных, обёрткам сторонних данных, сторонним серверам, функциям, процедурным языкам, схемам или табличным пространствам), а вторая назначает одни роли членами других. Эти разновидности во многом похожи, но имеют достаточно отличий, чтобы рассматривать их отдельно.
GRANT для объектов баз данных
Эта разновидность команды GRANT
даёт одной или нескольким ролям определённые права для доступа к объекту базы данных. Эти права добавляются к списку имеющихся, если роль уже наделена какими-то правами.
Также можно дать роли некоторое право для всех объектов одного типа в одной или нескольких схемах. Эта функциональность в настоящее время поддерживается только для таблиц, последовательностей и функций (но заметьте, что указание ALL TABLES
распространяется также на представления и сторонние таблицы).
Ключевое слово PUBLIC
означает, что права даются всем ролям, включая те, что могут быть созданы позже. PUBLIC
можно воспринимать как неявно определённую группу, в которую входят все роли. Любая конкретная роль получит в сумме все права, данные непосредственно ей и ролям, членом которых она является, а также права, данные роли PUBLIC
.
Если указано WITH GRANT OPTION
, получатель права, в свою очередь, может давать его другим. Без этого указания распоряжаться своим правом он не сможет. Группе PUBLIC
право передачи права дать нельзя.
Нет необходимости явно давать права для доступа к объекту его владельцу (обычно это пользователь, создавший объект), так как по умолчанию он имеет все права. (Однако владелец может лишить себя прав в целях безопасности.)
Право удалять объект или изменять его определение произвольным образом не считается назначаемым; оно неотъемлемо связано с владельцем, так что отозвать это право или дать его кому-то другому нельзя. (Однако похожий эффект можно получить, управляя членством в роли, владеющей объектом; см. ниже.) Владелец также неявно получает право распоряжения всеми правами для своего объекта.
PostgreSQL по умолчанию назначает группе PUBLIC
определённые права для некоторых типов объектов. Для таблиц, столбцов, последовательностей, обёрток сторонних данных, сторонних серверов, больших объектов, схем или табличных пространств PUBLIC
по умолчанию никаких прав не имеет. Для других типов объектов PUBLIC
имеет следующие права по умолчанию: CONNECT
и TEMPORARY
(создание временных таблиц) для баз данных; EXECUTE
— для функций, USAGE
— для языков и типов данных (включая домены). Владелец объекта, конечно же, может отозвать (с помощью REVOKE
) как явно назначенные права, так и права по умолчанию. (Для максимальной безопасности команду REVOKE
нужно выполнять в транзакции, создающей объект; тогда не образуется окно, в котором другой пользователь смог бы обратиться к объекту.) Кроме того, эти изначально назначаемые права по умолчанию можно изменить, воспользовавшись командой ALTER DEFAULT PRIVILEGES.
Все возможные права перечислены ниже:
SELECT
Позволяет выполнять SELECT для любого столбца или перечисленных столбцов в заданной таблице, представлении или последовательности. Также позволяет выполнять COPY TO. Помимо того, это право требуется для обращения к существующим значениям столбцов в UPDATE или DELETE. Для последовательностей это право позволяет пользоваться функцией
currval
. Для больших объектов это право позволяет читать содержимое объекта.INSERT
Позволяет вставлять строки в заданную таблицу с помощью INSERT. Если право ограничивается несколькими столбцами, только их значение можно будет задать в команде
INSERT
(другие столбцы получат значения по умолчанию). Также позволяет выполнять COPY FROM.UPDATE
Позволяет изменять (с помощью UPDATE) данные во всех, либо только перечисленных, столбцах в заданной таблице. (На практике для любой нетривиальной команды
UPDATE
потребуется и правоSELECT
, так как она должна обратиться к столбцам таблицы, чтобы определить, какие строки подлежат изменению, и/или вычислить новые значения столбцов.) ДляSELECT ... FOR UPDATE
иSELECT ... FOR SHARE
также необходимо это право как минимум для одного столбца, помимо праваSELECT
. Для последовательностей это право позволяет пользоваться функциямиnextval
иsetval
. Для больших объектов это право позволяет записывать данные в объект или обрезать его.DELETE
Позволяет удалять строки из заданной таблицы с помощью DELETE. (На практике для любой нетривиальной команды
DELETE
потребуется также правоSELECT
, так как она должна обратиться к столбцам таблицы, чтобы определить, какие строки подлежат удалению.)TRUNCATE
Позволяет опустошить заданную таблицу с помощью TRUNCATE.
REFERENCES
Позволяет создавать ограничение внешнего ключа, ссылающееся на определённую таблицу либо на определённые столбцы таблицы. (См. описание CREATE TABLE.)
TRIGGER
Позволяет создавать триггеры в заданной таблице. (См. описание оператора CREATE TRIGGER.)
CREATE
Для баз данных это право позволяет создавать схемы и публикации в заданной базе.
Для схем это право позволяет создавать новые объекты в заданной схеме. Чтобы переименовать существующий объект, необходимо быть его владельцем и иметь это право для схемы, содержащей его.
Для табличных пространств это право позволяет создавать таблицы, индексы и временные файлы в заданном табличном пространстве, а также создавать базы данных, для которых это пространство будет основным. (Учтите, что когда это право отзывается, существующие объекты остаются в прежнем расположении.)
CONNECT
Позволяет пользователю подключаться к указанной базе данных. Это право проверяется при установлении соединения (в дополнение к условиям, определённым в конфигурации
pg_hba.conf
).TEMPORARY
TEMP
Позволяет создавать временные таблицы в заданной базе данных.
EXECUTE
Позволяет выполнять заданную функцию и применять любые определённые поверх неё операторы. Это единственный тип прав, применимый к функциям. (Этот синтаксис распространяется и на агрегатные функции.)
USAGE
Для процедурных языков это право позволяет создавать функции на заданном языке. Это единственный тип прав, применимый к процедурным языкам.
Для схем это право даёт доступ к объектам, содержащимся в заданной схеме (предполагается, что при этом имеются права, необходимые для доступа к самим объектам). По сути это право позволяет субъекту «просматривать» объекты внутри схемы. Без этого разрешения имена объектов всё же можно будет узнать, например, обратившись к системным таблицам. Кроме того, если отозвать это право, в существующих сеансах могут оказаться операторы, для которых просмотр имён объектов был выполнен ранее, так что это право не позволяет абсолютно надёжно перекрыть доступ к объектам.
Для последовательностей это право позволяет использовать функции
currval
иnextval
.Для типов и доменов это право позволяет использовать заданный тип или домен при создании таблиц, функций или других объектов схемы. (Заметьте, что это право не ограничивает общее «использование» типа, например, обращение к значениям типа в запросах. Не имея этого права, субъект лишается только возможности создавать объекты, зависящие от заданного типа. Основное предназначение этого права в том, чтобы ограничить круг пользователей, способных создавать зависимости от типа, которые могут впоследствии помешать владельцу типа изменить его.)
Для обёрток сторонних данных это право позволяет создавать новые серверы, используя заданную обёртку.
Для серверов это право позволяет создавать определения сторонних таблиц, связанные с этим сервером. Субъекты могут также создавать, изменять или удалять сопоставление для собственного имени пользователя, связанное с этим сервером.
ALL PRIVILEGES
Даёт целевой роли все права сразу. Ключевое слово
PRIVILEGES
является необязательным в PostgreSQL, хотя в стандарте SQL оно требуется.
Права, требующиеся для других команд, указаны на страницах справки этих команд.
GRANT для ролей
Эта разновидность команды GRANT
включает роль в члены одной или нескольких других ролей. Членство в ролях играет важную роль, так как права, данные роли, распространяются и на всех её членов.
Получивший членство в роли с указанием WITH ADMIN OPTION
сможет, в свою очередь, включать в члены этой роли, а также исключать из неё другие роли. Без этого указания обычные пользователи не могут это делать. Считается, что роль не имеет права WITH ADMIN OPTION
для самой себя, но ей позволено управлять своими членами из сеанса, в котором пользователь сеанса соответствует данной роли. Суперпользователи баз данных могут включать или исключать любые роли из любых ролей. Роли с правом CREATEROLE
могут управлять членством в любых ролях, кроме ролей суперпользователей.
С указанием GRANTED BY
назначение права сохраняется как данное указанной ролью. Это указание в полной мере могут использовать только суперпользователи базы данных, а обычному пользователю оно доступно, только если в этом указании задаётся имя его роли.
В отличие от прав, членство в ролях нельзя назначить группе PUBLIC
. Заметьте также, что эта форма команды не принимает избыточное слово GROUP
в указании_роли
.
Замечания
Для лишения субъектов прав доступа применяется команда REVOKE.
Начиная с PostgreSQL версии 8.1, концепции пользователей и групп объединены в единую сущность, названную ролью. Таким образом, теперь нет необходимости добавлять ключевое слово GROUP
, чтобы показать, что субъект является группой, а не пользователем. Слово GROUP
всё ещё принимается этой командой, но оно лишено смысловой нагрузки.
Пользователь может выполнять SELECT
, INSERT
и подобные команды со столбцом таблицы, если он имеет такое право для данного столбца или для всей таблицы. Если назначить пользователю требуемое право на уровне таблицы, а затем отозвать его для одного из столбцов, это не даст эффекта, которого можно было бы ожидать: операция с правами на уровне столбцов не затронет право на уровне таблицы.
Если назначить право доступа к объекту (с помощью GRANT
) попытается не владелец объекта, команда завершится ошибкой, если пользователь не имеет никаких прав для этого объекта. Если же пользователь имеет какие-то права, команда будет выполняться, но пользователь сможет давать другим только те права, которые даны ему с правом передачи. Формы GRANT ALL PRIVILEGES
будут выдавать предупреждение, если у него вовсе нет таких прав, тогда как другие формы будут выдавать предупреждения, если пользователь не имеет прав распоряжаться именно правами, указанными в команде. (В принципе, эти утверждения применимы и к владельцу объекта, но ему разрешено распоряжаться всеми правами, поэтому такие ситуации невозможны.)
Следует отметить, что суперпользователи баз данных могут обращаться к любым объектам, вне зависимости от наличия каких-либо прав. Это сравнимо с привилегиями пользователя root
в системе Unix. И так же, как root
, роль суперпользователя следует использовать только когда это абсолютно необходимо.
Если суперпользователь решит выполнить команду GRANT
или REVOKE
, она будет выполнена, как если бы её выполнял владелец заданного объекта. В частности, права, назначенные такой командой, будут представлены как права, назначенные владельцем объекта. (Если так же установить членство в роли, оно будет представлено как назначенное самой ролью.)
GRANT
и REVOKE
также могут быть выполнены ролью, которая не является владельцем заданного объекта, но является членом роли-владельца, либо членом роли, имеющей права WITH GRANT OPTION
для этого объекта. В этом случае права будут записаны как назначенные ролью, которая действительно владеет объектом, либо имеет право WITH GRANT OPTION
. Например, если таблица t1
принадлежит роли g1
, членом которой является u1
, то u1
может дать права на использование t1
роли u2
, но эти права будут представлены, как назначенные непосредственно ролью g1
. Отозвать эти права позже сможет любой член роли g1
.
Если роль, выполняющая команду GRANT
, получает требуемое право по нескольким путям членства, какая именно роль будет выбрана в качестве назначающей право, не определено. Если это важно, в таких случаях рекомендуется воспользоваться командой SET ROLE
и переключиться на роль, которую хочется видеть в качестве выполняющей GRANT
.
При назначении прав для доступа к таблице они автоматически не распространяются на последовательности, используемые этой таблицей, в том числе, на последовательности, связанные со столбцами SERIAL
. Права доступа к последовательностям нужно назначать отдельно.
Чтобы получить информацию о существующих правах, назначенных для таблиц и столбцов, воспользуйтесь командой \dp
в psql. Например:
=> \dp mytable Access privileges Schema | Name | Type | Access privileges | Column access privileges --------+---------+-------+-----------------------+-------------------------- public | mytable | table | miriam=arwdDxt/miriam | col1: : =r/miriam : miriam_rw=rw/miriam : admin=arw/miriam (1 row)
Записи, выводимые командой \dp
, интерпретируются так:
имя_роли=xxxx -- права, назначенные роли =xxxx -- права, назначенные PUBLIC r -- SELECT ("read", чтение) w -- UPDATE ("write", запись) a -- INSERT ("append", добавление) d -- DELETE D -- TRUNCATE x -- REFERENCES t -- TRIGGER X -- EXECUTE U -- USAGE C -- CREATE c -- CONNECT T -- TEMPORARY arwdDxt -- ALL PRIVILEGES (все права для таблиц; для других объектов другие) * -- право передачи заданного права /yyyy -- роль, назначившая это право
В примере выше показано, что увидит пользователь miriam
, если создаст таблицу mytable
и выполнит:
GRANT SELECT ON mytable TO PUBLIC; GRANT SELECT, UPDATE, INSERT ON mytable TO admin; GRANT SELECT (col1), UPDATE (col1) ON mytable TO miriam_rw;
Для других объектов есть другие команды \d
, которые также позволяют просмотреть назначенные права.
Если столбец «Права доступа» для данного объекта пуст, это значит, что для объекта действуют стандартные права (то есть столбец прав содержит NULL). Права по умолчанию всегда включают все права для владельца и могут также включать некоторые права для PUBLIC
в зависимости от типа объекта, как разъяснялось выше. Первая команда GRANT
или REVOKE
для объекта приводит к проявлению записи прав по умолчанию (например, {miriam=arwdDxt/miriam}
), а затем изменяет эту запись в соответствии с заданным запросом. Подобным образом, строки, показанные в столбце «Права доступа к столбцам», выводятся только для столбцов с нестандартными правами доступа. (Заметьте, что в данном контексте под «стандартными правами» всегда подразумевается встроенный набор прав, предопределённый для типа объекта. Если с объектом связан набор прав по умолчанию, полученный после изменения в результате ALTER DEFAULT PRIVILEGES
, изменённые права будут всегда выводиться явно, показывая эффект команды ALTER
.)
Заметьте, что право распоряжения правами, которое имеет владелец, не отмечается в выводимой сводке. Знаком *
отмечаются только те права с правом передачи, которые были явно назначены кому-либо.
Примеры
Следующая команда разрешает всем добавлять записи в таблицу films
:
GRANT INSERT ON films TO PUBLIC;
Эта команда даёт пользователю manuel
все права для представления kinds
:
GRANT ALL PRIVILEGES ON kinds TO manuel;
Учтите, что если её выполнит суперпользователь или владелец представления kinds
, эта команда действительно даст субъекту все права, но если её выполнит обычный пользователь, субъект получит только те права, которые даны этому пользователю с правом передачи.
Включение в роль admins
пользователя joe
:
GRANT admins TO joe;
Совместимость
Согласно стандарту SQL, слово PRIVILEGES
в указании ALL PRIVILEGES
является обязательным. Стандарт SQL не позволяет назначать права сразу для нескольких объектов одной командой.
PostgreSQL позволяет владельцу объекта лишить себя своих обычных прав: например, владелец таблицы может разрешить себе только чтение таблицы, отозвав собственные права INSERT
, UPDATE
, DELETE
и TRUNCATE
. В стандарте SQL это невозможно. Это объясняется тем, что PostgreSQL воспринимает права владельца как назначенные им же себе; поэтому их можно и отозвать. В стандарте SQL права владельца даются ему предполагаемой сущностью «_SYSTEM». Так как владелец объекта отличается от «_SYSTEM», лишить себя этих прав он не может.
Согласно стандарту SQL, право с правом передачи можно дать субъекту PUBLIC
; однако PostgreSQL может давать право с правом передачи только ролям.
Стандарт SQL разрешает использовать указание GRANTED BY
во всех формах GRANT
. PostgreSQL поддерживает его только при назначении членства ролей, и при этом только суперпользователи могут использовать его нетривиальным образом.
В стандарте SQL право USAGE
распространяется и на другие типы объектов: наборы символов, правила сортировки и преобразования.
В стандарте SQL право USAGE
для последовательностей управляет использованием выражения NEXT VALUE FOR
, которое равнозначно функции nextval
в PostgreSQL. Права SELECT
и UPDATE
для последовательностей являются расширениями PostgreSQL. То, что право USAGE
для последовательностей управляет использованием функции currval
, так же относится к расширениям PostgreSQL (как и сама функция).
Права для баз данных, табличных пространств, схем и языков относятся к расширениям PostgreSQL.