Назначение привилегий и ролей пользователям

Статья создана

Изменить список ролей пользователя
Выдать привилегию пользователю
Отозвать привилегию у пользователя
Примеры
- Создание пользователя с настройкой «только чтение»

Атомарные полномочия в PostgreSQL называются привилегиями, группы полномочий — ролями. Подробнее об организации прав доступа читайте в документации PostgreSQL.

Пользователь, создаваемый вместе с кластером Managed Service for PostgreSQL, является владельцем первой базы данных в кластере. Вы можете создавать других пользователей и настраивать их права по своему усмотрению:

Изменить список ролей пользователя.
Выдать привилегию пользователю.
Отозвать привилегию у пользователя.

Изменить список ролей пользователя

Для назначения роли пользователю используйте CLI или API Yandex.Cloud: назначение роли запросом GRANT отменится при следующей операции с базой.

CLI

API

Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Чтобы назначить роли пользователю кластера, передайте список нужных ролей в параметре --grants. Имеющиеся роли будут полностью перезаписаны: если вы хотите дополнить или уменьшить имеющийся список, сначала запросите текущие роли с информацией о пользователе командой yc managed-postgresql user get.

Чтобы назначить роли, выполните команду:

$ yc managed-postgresql user update <имя пользователя> \
       --grants=<роль1,роль2> \
       --cluster-id <идентификатор кластера>

Имя кластера можно запросить со списком кластеров в каталоге, имя пользователя — со списком пользователей.

Передать список необходимых ролей для пользователя можно с помощью метода update.

Имеющиеся роли будут полностью перезаписаны: если вы хотите дополнить или уменьшить имеющийся список, сначала запросите текущие роли с информацией о пользователе методом get.

Выдать привилегию пользователю

Подключитесь к базе данных с помощью учетной записи владельца базы данных.
Выполните команду GRANT. Подробное описание синтаксиса команды смотрите в документации PostgreSQL.

Отозвать привилегию у пользователя

Подключитесь к базе данных с помощью учетной записи владельца базы данных.
Выполните команду REVOKE. Подробное описание синтаксиса команды смотрите в документации PostgreSQL.

Примеры

Создание пользователя с настройкой «только чтение»

Допустим, нужно добавить в существующий кластер нового пользователя user2, причем:

пользователь должен иметь доступ к базе данных db1 кластера, в том числе:
- к таблице Products в схеме по умолчанию public;
- ко всем таблицам схемы myschema;
доступ должен осуществляться в режиме «только чтение» (readonly), без возможности изменения настроек.

Для этого выполните следующие действия:

Создайте пользователя с именем user2. При этом выберите базы данных, к которым должен иметь доступ пользователь.
Подключитесь к базе данных db1 с помощью учетной записи владельца БД.

Выполните команды:

GRANT SELECT ON public.Products TO user2;

GRANT SELECT ON ALL TABLES IN SCHEMA myschema TO user2;
GRANT USAGE ON SCHEMA myschema TO user2;

Для отзыва выданных привилегий выполните команды:

REVOKE SELECT ON public.Products FROM user2;

REVOKE SELECT ON ALL TABLES IN SCHEMA myschema FROM user2;
REVOKE USAGE ON SCHEMA myschema FROM user2;