摘要: 一種典型客戶場景是一些用戶是數據的生產方,需要在schema中創建表並寫入數據;而另一些用戶是數據的消費方,讀取schema中的數據做分析。使用Alter default privilege語法可以實現這種共享schema的權限管理問題。通過簡單示例演示了Alter default privilege語法處理這種典型場景的細節和有效性。
前言
最近遇到一個客戶場景,涉及共享schema的權限問題。場景簡單可以描述為:一些用戶是數據的生產方,需要在schema中創建表並寫入數據;另一些用戶是數據的消費方,讀取schema中的數據做分析。對於該schema權限管理的一種實現方法是數據生產方在每次創建新表后告知管理員用戶使用grant select on all tables in schema語法來授予消費方權限。這種方法有一定的局限性。如果生產方在schema下面又創建了一些新表,為了授權消費方使用這些新表還需要告知管理員用戶再次使用grant select on all tables in schema來授權。有沒有簡單的應對方案?答案是肯定的,可以使用Alter default privilege。Alter default privilege用於將來創建的對象的權限的授予或回收。
語法介紹
ALTER DEFAULT PRIVILEGES [ FOR { ROLE | USER } target_role [, ...] ] [ IN SCHEMA schema_name [, ...] ] abbreviated_grant_or_revoke;
其中abbreviated_grant_or_revoke子句用於指定對哪些對象進行授權或回收權限。對表授權語法是:
GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES }
[, ...] | ALL [ PRIVILEGES ] }
ON TABLES
TO { [ GROUP ] role_name | PUBLIC } [, ...]
參數說明
- target_role
已有角色的名稱。如果省略FOR ROLE/USER,則缺省值為當前角色/用戶。
取值范圍:已有角色的名稱。 - schema_name
現有模式的名稱。
target_role必須有schema_name的CREATE權限。
取值范圍:現有模式的名稱。 - role_name
被授予或者取消權限角色的名稱。
取值范圍:已存在的角色名稱。
詳見https://support.huaweicloud.com/devg-dws/dws_04_0241.html
場景示例
testdb=# create user creator1 password 'Gauss_234'; CREATE USER testdb=# create user creator2 password 'Gauss_234'; CREATE ROLE testdb=# create user user1 password 'Gauss_234'; CREATE USER --創建共享schema,授予creator1和creator2創建權限,授予user1使用權限 testdb=# create schema shared_schema; CREATE SCHEMA testdb=> grant create, usage on schema shared_schema to creator1; GRANT testdb=> grant create, usage on schema shared_schema to creator2; GRANT testdb=# grant usage on schema shared_schema to user1; GRANT --將creator1和creator2在shared_schema中創建表的select權限授予user1 testdb=# alter default privileges for user creator1, creator2 in schema shared_schema grant select on tables to user1; ALTER DEFAULT PRIVILEGES --切到creator1,建表 testdb=# \c testdb creator1 You are now connected to database "testdb" as user "creator1". testdb=> create table shared_schema.t1 (c1 int); CREATE TABLE --切到creator2,建表 testdb=> \c testdb creator2 You are now connected to database "testdb" as user "creator2". testdb=> create table shared_schema.t2 (c1 int); CREATE TABLE --切到user1,查詢OK testdb=> \c testdb user1 You are now connected to database "testdb" as user "user1". testdb=> select * from shared_schema.t1 union select * from shared_schema.t2; c1 ---- (0 rows)
查看默認權限的授予現狀
查詢系統表pg_default_acl可以查看當前哪些schema被授予了默認權限。從defaclacl字段可以看到creator1和creator2分別授予了user1對shared_schema中對象的select權限(r表示read)。
testdb=# select r.rolname, n.nspname, a.defaclobjtype, a.defaclacl from testdb-# pg_default_acl a, pg_roles r, pg_namespace n testdb-# where a.defaclrole=r.oid and a.defaclnamespace=n.oid; rolname | nspname | defaclobjtype | defaclacl ----------+---------------+---------------+-------------------- creator1 | shared_schema | r | {user1=r/creator1} creator2 | shared_schema | r | {user1=r/creator2} (2 rows)
一些細節
所有在共享schema中創建對象的用戶都應該出現在alter default privileges for user之后的列表中。否則,如果有用戶creator3沒有在列表中,其在共享schema中創建的對象或者說那些Owner是creator3的對象將不能被user1查詢。因為共享schema中creator3用戶創建的表沒有授予user1默認權限。
testdb=# create user creator3 password 'Gauss_234'; CREATE USER testdb=# grant create, usage on schema shared_schema to creator3; GRANT testdb=# \c testdb creator3 You are now connected to database "testdb" as user "creator3". testdb=> create table shared_schema.t3 (c1 int); CREATE TABLE testdb=> \c testdb user1 You are now connected to database "testdb" as user "user1". testdb=> select * from shared_schema.t3; ERROR: permission denied for relation t3
管理員可以通過alter default privileges for user將creator3放入列表中為user1授予訪問creator3用戶創建表的默認權限,也可以由creator3用戶自己通過alter default privileges授權給user1. 前面語法參數說明中有如果省略FOR ROLE/USER,則缺省值為當前用戶。
testdb=> \c testdb creator3 You are now connected to database "testdb" as user "creator3". testdb=> alter default privileges in schema shared_schema grant select on tables to user1; ALTER DEFAULT PRIVILEGES testdb=> \c testdb user1 You are now connected to database "testdb" as user "user1". testdb=> select * from shared_schema.t3; ERROR: permission denied for relation t3 testdb=> \c testdb creator3 testdb=> create table shared_schema.t4 (c1 int); CREATE TABLE testdb=> \c testdb user1 You are now connected to database "testdb" as user "user1". testdb=> select * from shared_schema.t4; c1 ---- (0 rows)
上述代碼第3行為當前用戶在shared_schema下面創建的表的select權限授予user1。第7行user1查詢shared_schema.t3報權限不足,是因為alter default privileges只處理將來的對象。shared_schema.t3在是之前創建的。我們新建表shared_schema.t4,user1用戶查詢正常。
如果要處理已有表的權限,使用grant語句。參見https://support.huaweicloud.com/devg-dws/dws_04_0334.html。
testdb=> \c testdb creator3 You are now connected to database "testdb" as user "creator3". testdb=> grant select on all tables in schema shared_schema to user1; ERROR: permission denied for relation t1 testdb=> grant select on table shared_schema.t3 to user1; GRANT testdb=> \c testdb user1 You are now connected to database "testdb" as user "user1". testdb=> select * from shared_schema.t3; c1 ---- (0 rows)
代碼第3行中shared_schema中包含有3個用戶創建的表,而creator3只是表t3的創建者(Owner)。所以授予整個schema的權限會報錯,只授予creator3是Owner的表t3之后,user1用戶查詢正常。
總結
alter default privileges只處理將來的對象,grant只處理已有的對象。進一步的,這兩種語法授予權限時涉及的對象僅包括Owner是當前用戶的對象。如果要為共享schema下面所有Owner的對象授予權限,需要使用管理員用戶使用alter default privileges for user語法和grant語法。
本文分享自華為雲社區《你應該知道的數倉安全——默認權限實現共享schema》,作者:zhangkunhn