Разграничение прав доступа PostgreSQL

08.09.2025

---

Роли в PostgreSQL

Роль = пользователь или группа пользователей.
Создаются на уровне всего кластера (CREATE ROLE).
Каждое подключение выполняется от имени роли.
Атрибуты ролей:
- LOGIN — можно подключаться к БД (пользователь).
- SUPERUSER — полный доступ, минует все проверки.
- CREATEDB — можно создавать базы.
- CREATEROLE — можно создавать/удалять/изменять роли.
- REPLICATION — права для потоковой репликации.
- PASSWORD — используется при аутентификации.

Суперпользователей используют только для администрирования, для повседневной работы лучше ограниченные роли.

Членство и наследование

Роли можно объединять в группы.
GRANT group_role TO user_role; — добавление в группу.
Атрибут INHERIT — автоматически наследовать права группы.
SET ROLE — временно переключиться на другую роль.

Удаление роли

Передать объекты другой роли (REASSIGN OWNED).
Удалить оставшиеся права/объекты (DROP OWNED).
Удалить роль (DROP ROLE).

Схемы

Схема = пространство имён объектов внутри базы данных.
База может содержать несколько схем, а в них — таблицы, функции и др.
По умолчанию все объекты создаются в схеме public.
Обращение идёт через путь поиска (search_path), обычно:

"$user", public

То есть сначала ищется схема с именем пользователя, потом public.

Права на схемы

USAGE — доступ к объектам внутри схемы.
CREATE — возможность создавать новые объекты.
По умолчанию в public все имеют права CREATE и USAGE, что небезопасно.

Личные схемы для пользователей
- REVOKE CREATE ON SCHEMA public FROM PUBLIC;
- Создать каждому пользователю свою схему.
- Тогда $user в search_path будет указывать на его личное пространство.
Удалить public из search_path
- Оставить её только для явного использования.
Оставить по умолчанию (небезопасно, только для доверенной среды).

Роли отвечают за то, кто и что может делать.
Схемы отвечают за то, где хранятся объекты и как к ним обращаться.
Грамотное использование ролей и схем обеспечивает безопасность и удобство работы в многопользовательской среде PostgreSQL.

Понравиласть статья? Жми лайк или расскажи своим друзьям!

Теги к новости:

PostgreSQL, System Administrator, Linux

Комментарии

Добавить комментарий

Похожие новости:

Подробнее

03.09.2025

В чем разница Deployment и DaemonSet?

Deployment и DaemonSet являются двумя типами контроллеров, которые управляют развертыванием и обеспечением жизненного цикла подов (групп контейнеров). Они оба играют важные роли, но используются для разных целей и сценариев.

Подробнее

03.09.2025

Что такое брокеры сообщений?

Это программные системы (RabbitMQ, Apache Kafka, Redis, ActiveMQ), которые позволяют обмениваться данными между разными компонентами приложения или между различными приложениями. Они действуют как посредники, принимая сообщения от отправителей

Подробнее

31.08.2025

Kubernetes v1.33: Вертикальное масштабирование пода без перезапуска

Вертикальное масштабирование пода без перезапуска стало возможным начиная с Kubernetes v1.33. Если вы хотели выдать приложению (Pod в Kubernetes) больше памяти или CPU, его приходилось перезапускать.

Подробнее

31.08.2025

Логирование в Kubernetes с помощью EFK

kubectl logs подходит для маленьких сетапов, но сотни подов на множестве нод? Полный хаос. Здесь и выручает стек EFK (Elasticsearch + Fluent Bit/Fluentd + Kibana).

Подробнее

02.09.2025

Как создать дамп базы mysql - команды

Чтобы сделать дамп базы данных MySQL, используется утилита mysqldump