GRANT
GRANT — определить права доступа
Синтаксис
GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER } [, ...] | ALL [ PRIVILEGES ] } ON { [ TABLE ]имя_таблицы
[, ...] | ALL TABLES IN SCHEMAимя_схемы
[, ...] } TOуказание_роли
[, ...] [ WITH GRANT OPTION ] [ GRANTED BYуказание_роли
] GRANT { { SELECT | INSERT | UPDATE | REFERENCES } (имя_столбца
[, ...] ) [, ...] | ALL [ PRIVILEGES ] (имя_столбца
[, ...] ) } ON [ TABLE ]имя_таблицы
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] [ GRANTED BYуказание_роли
] GRANT { { USAGE | SELECT | UPDATE } [, ...] | ALL [ PRIVILEGES ] } ON { SEQUENCEимя_последовательности
[, ...] | ALL SEQUENCES IN SCHEMAимя_схемы
[, ...] } TOуказание_роли
[, ...] [ WITH GRANT OPTION ] [ GRANTED BYуказание_роли
] GRANT { { CREATE | CONNECT | TEMPORARY | TEMP } [, ...] | ALL [ PRIVILEGES ] } ON DATABASEимя_бд
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] [ GRANTED BYуказание_роли
] GRANT { USAGE | ALL [ PRIVILEGES ] } ON DOMAINимя_домена
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] [ GRANTED BYуказание_роли
] GRANT { USAGE | ALL [ PRIVILEGES ] } ON FOREIGN DATA WRAPPERимя_обёртки_сторонних_данных
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] [ GRANTED BYуказание_роли
] GRANT { USAGE | ALL [ PRIVILEGES ] } ON FOREIGN SERVERимя_сервера
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] [ GRANTED BYуказание_роли
] GRANT { EXECUTE | ALL [ PRIVILEGES ] } ON { { FUNCTION | PROCEDURE | ROUTINE }имя_подпрограммы
[ ( [ [режим_аргумента
] [имя_аргумента
]тип_аргумента
[, ...] ] ) ] [, ...] | ALL { FUNCTIONS | PROCEDURES | ROUTINES } IN SCHEMAимя_схемы
[, ...] } TOуказание_роли
[, ...] [ WITH GRANT OPTION ] [ GRANTED BYуказание_роли
] GRANT { USAGE | ALL [ PRIVILEGES ] } ON LANGUAGEимя_языка
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] [ GRANTED BYуказание_роли
] GRANT { { SELECT | UPDATE } [, ...] | ALL [ PRIVILEGES ] } ON LARGE OBJECToid_БО
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] [ GRANTED BYуказание_роли
] GRANT { { SET | ALTER SYSTEM } [, ... ] | ALL [ PRIVILEGES ] } ON PARAMETERпараметр_конфигурации
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] [ GRANTED BYуказание_роли
] GRANT { { CREATE | USAGE } [, ...] | ALL [ PRIVILEGES ] } ON SCHEMAимя_схемы
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] [ GRANTED BYуказание_роли
] GRANT { CREATE | ALL [ PRIVILEGES ] } ON TABLESPACEтабл_пространство
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] [ GRANTED BYуказание_роли
] GRANT { USAGE | ALL [ PRIVILEGES ] } ON TYPEимя_типа
[, ...] TOуказание_роли
[, ...] [ WITH GRANT OPTION ] [ GRANTED BYуказание_роли
] GRANTимя_роли
[, ...] TOуказание_роли
[, ...] [ WITH ADMIN OPTION ] [ GRANTED BYуказание_роли
] Здесьуказание_роли
: [ GROUP ]имя_роли
| PUBLIC | CURRENT_ROLE | CURRENT_USER | SESSION_USER
Описание
Команда GRANT
имеет две основные разновидности: первая назначает права для доступа к объектам баз данных (таблицам, столбцам, представлениям, сторонним таблицам, последовательностям, базам данных, обёрткам сторонних данных, сторонним серверам, функциям, процедурам, процедурным языкам, большим объектам, параметрам конфигурации, схемам, табличным пространствам или типам), а вторая назначает одни роли членами других. Эти разновидности во многом похожи, но имеют достаточно отличий, чтобы рассматривать их отдельно.
GRANT для объектов баз данных
Эта разновидность команды GRANT
даёт одной или нескольким ролям определённые права для доступа к объекту базы данных. Эти права добавляются к списку имеющихся, если роль уже наделена какими-то правами.
Ключевое слово PUBLIC
означает, что права даются всем ролям, включая те, что могут быть созданы позже. PUBLIC
можно воспринимать как неявно определённую группу, в которую входят все роли. Любая конкретная роль получит в сумме все права, данные непосредственно ей и ролям, членом которых она является, а также права, данные роли PUBLIC
.
Если указано WITH GRANT OPTION
, получатель права, в свою очередь, может давать его другим. Без этого указания распоряжаться своим правом он не сможет. Группе PUBLIC
право передачи права дать нельзя.
Если указано GRANTED BY
, заданным праводателем должен быть текущий пользователь. В настоящее время это предложение реализовано только ради совместимости со стандартом SQL.
Нет необходимости явно давать права для доступа к объекту его владельцу (обычно это пользователь, создавший объект), так как по умолчанию он имеет все права. (Однако владелец может лишить себя прав в целях безопасности.)
Право удалять объект или изменять его определение произвольным образом не считается назначаемым; оно неотъемлемо связано с владельцем, так что отозвать это право или дать его кому-то другому нельзя. (Однако похожий эффект можно получить, управляя членством в роли, владеющей объектом; см. ниже.) Владелец также неявно получает право распоряжения всеми правами для своего объекта.
Возможные права:
SELECT
INSERT
UPDATE
DELETE
TRUNCATE
REFERENCES
TRIGGER
CREATE
CONNECT
TEMPORARY
EXECUTE
USAGE
SET
ALTER SYSTEM
Определённые типы прав, описанные в Разделе 5.7.
TEMP
Альтернативное написание
TEMPORARY
.ALL PRIVILEGES
Даёт целевой роли все права, применимые к данному объекту. Ключевое слово
PRIVILEGES
является необязательным вPostgreSQL
, хотя в стандарте SQL оно требуется.
Синтаксис FUNCTION
распространяется на обычные, агрегатные и оконные функции, но не на процедуры; для последних предназначен синтаксис PROCEDURE
. Также можно использовать вариант с ROUTINE
, охватывающий обычные, агрегатные и оконные функции, а также процедуры, вне зависимости от точного типа объекта.
Также можно дать роли некоторое право для всех объектов одного типа в одной или нескольких схемах. Эта функциональность в настоящее время поддерживается только для таблиц, последовательностей, функций и процедур. ALL TABLES
распространяется и на представления со сторонними таблицами так же, как и вариант GRANT
для конкретного объекта. ALL FUNCTIONS
распространяется также на агрегатные и оконные функции, но не на процедуры, тоже подобно варианту GRANT
для конкретного объекта. Чтобы охватить и процедуры, воспользуйтесь формой ALL ROUTINES
.
GRANT для ролей
Эта разновидность команды GRANT
включает роль в члены одной или нескольких других ролей. Членство в ролях играет важную роль, так как права, данные роли, распространяются и на всех её членов.
Получивший членство в роли с указанием WITH ADMIN OPTION
сможет, в свою очередь, включать в члены этой роли, а также исключать из неё другие роли. Без этого указания обычные пользователи не могут это делать. Считается, что роль не имеет права WITH ADMIN OPTION
для самой себя. Суперпользователи баз данных могут включать или исключать любые роли из любых ролей. Роли с правом CREATEROLE
могут управлять членством в любых ролях, кроме ролей суперпользователей.
С указанием GRANTED BY
назначение права сохраняется как данное указанной ролью. Это указание в полной мере могут использовать только суперпользователи базы данных, а обычному пользователю оно доступно, только если в этом указании задаётся имя его роли.
В отличие от прав, членство в ролях нельзя назначить группе PUBLIC
. Заметьте также, что эта форма команды не принимает избыточное слово GROUP
в указании_роли
.
Примечания
Для лишения субъектов прав доступа применяется команда REVOKE
.
Начиная с PostgreSQL версии 8.1, концепции пользователей и групп объединены в единую сущность, названную ролью. Таким образом, теперь нет необходимости добавлять ключевое слово GROUP
, чтобы показать, что субъект является группой, а не пользователем. Слово GROUP
всё ещё принимается этой командой, но оно лишено смысловой нагрузки.
Пользователь может выполнять SELECT
, INSERT
и подобные команды со столбцом таблицы, если он имеет такое право для данного столбца или для всей таблицы. Если назначить пользователю требуемое право на уровне таблицы, а затем отозвать его для одного из столбцов, это не даст эффекта, которого можно было бы ожидать: операция с правами на уровне столбцов не затронет право на уровне таблицы.
Если назначить право доступа к объекту (с помощью GRANT
) попытается не владелец объекта, команда завершится ошибкой, если пользователь не имеет никаких прав для этого объекта. Если же пользователь имеет какие-то права, команда будет выполняться, но пользователь сможет давать другим только те права, которые даны ему с правом передачи. Формы GRANT ALL PRIVILEGES
будут выдавать предупреждение, если у него вовсе нет таких прав, тогда как другие формы будут выдавать предупреждения, если пользователь не имеет прав распоряжаться именно правами, указанными в команде. (В принципе, эти утверждения применимы и к владельцу объекта, но ему разрешено распоряжаться всеми правами, поэтому такие ситуации невозможны.)
Следует отметить, что суперпользователи баз данных могут обращаться к любым объектам, вне зависимости от наличия каких-либо прав. Это сравнимо с привилегиями пользователя root
в системе Unix. И так же, как root
, роль суперпользователя следует использовать только когда это абсолютно необходимо.
Если суперпользователь решит выполнить команду GRANT
или REVOKE
, она будет выполнена, как если бы её выполнял владелец заданного объекта. В частности, права, назначенные такой командой, будут представлены как права, назначенные владельцем объекта. (Если так же установить членство в роли, оно будет представлено как назначенное самой ролью.)
GRANT
и REVOKE
также могут быть выполнены ролью, которая не является владельцем заданного объекта, но является членом роли-владельца, либо членом роли, имеющей права WITH GRANT OPTION
для этого объекта. В этом случае права будут записаны как назначенные ролью, которая действительно владеет объектом, либо имеет право WITH GRANT OPTION
. Например, если таблица t1
принадлежит роли g1
, членом которой является u1
, то u1
может дать права на использование t1
роли u2
, но эти права будут представлены, как назначенные непосредственно ролью g1
. Отозвать эти права позже сможет любой член роли g1
.
Если роль, выполняющая команду GRANT
, получает требуемое право по нескольким путям членства, какая именно роль будет выбрана в качестве назначающей право, не определено. Если это важно, в таких случаях рекомендуется воспользоваться командой SET ROLE
и переключиться на роль, которую хочется видеть в качестве выполняющей GRANT
.
При назначении прав для доступа к таблице они автоматически не распространяются на последовательности, используемые этой таблицей, в том числе, на последовательности, связанные со столбцами SERIAL
. Права доступа к последовательностям нужно назначать отдельно.
Подробнее о конкретных типах прав, а также о том, как просмотреть права, назначенные для объектов, рассказывается в Разделе 5.7.
Примеры
Следующая команда разрешает всем добавлять записи в таблицу films
:
GRANT INSERT ON films TO PUBLIC;
Эта команда даёт пользователю manuel
все права для представления kinds
:
GRANT ALL PRIVILEGES ON kinds TO manuel;
Учтите, что если её выполнит суперпользователь или владелец представления kinds
, эта команда действительно даст субъекту все права, но если её выполнит обычный пользователь, субъект получит только те права, которые даны этому пользователю с правом передачи.
Включение в роль admins
пользователя joe
:
GRANT admins TO joe;
Совместимость
Согласно стандарту SQL, слово PRIVILEGES
в указании ALL PRIVILEGES
является обязательным. Стандарт SQL не позволяет назначать права сразу для нескольких объектов одной командой.
PostgreSQL позволяет владельцу объекта лишить себя своих обычных прав: например, владелец таблицы может разрешить себе только чтение таблицы, отозвав собственные права INSERT
, UPDATE
, DELETE
и TRUNCATE
. В стандарте SQL это невозможно. Это объясняется тем, что PostgreSQL воспринимает права владельца как назначенные им же себе; поэтому их можно и отозвать. В стандарте SQL права владельца даются ему предполагаемой сущностью «_SYSTEM». Так как владелец объекта отличается от «_SYSTEM», лишить себя этих прав он не может.
Согласно стандарту SQL, право с правом передачи можно дать субъекту PUBLIC
; однако PostgreSQL может давать право с правом передачи только ролям.
Стандарт SQL допускает в предложении GRANTED BY
только указание CURRENT_USER
или CURRENT_ROLE
. Другие варианты относятся к расширениям PostgreSQL.
В стандарте SQL право USAGE
распространяется и на другие типы объектов: наборы символов, правила сортировки и преобразования.
В стандарте SQL право USAGE
для последовательностей управляет использованием выражения NEXT VALUE FOR
, которое равнозначно функции nextval
в PostgreSQL. Права SELECT
и UPDATE
для последовательностей являются расширениями PostgreSQL. То, что право USAGE
для последовательностей управляет использованием функции currval
, так же относится к расширениям PostgreSQL (как и сама функция).
Права для баз данных, табличных пространств, схем, языков и параметров конфигурации относятся к расширениям PostgreSQL.