阿里云rds postgres回收用户权限-低调大师

阿里云rds postgres回收用户权限

2017-05-22 565

1，提工单
由于当初设计都是用的public schema，而public schema对所有用户权限没有限制，所以需要回收部分用户的建表权限，
=> dn
List of schemas

Name	Owner
public	pg2490375

而public 默认owner是初始化实列的用户，所以提供单将public owner改成自己建的用户
将test,template1数据库public schema的owner给xhc_test 。
=> dn
List of schemas

Name	Owner
public	xhc_test

2，若为rds_superuser 则改为nords_superuser
xhc_dba=> alter user xhc_rw nords_superuser;

3，回收create 权限
xhc_dba=> revoke create on schema public from public;
xhc_dba=> c - xhc_rw;
You are now connected to database "xhc_dba" as user "xhc_rw”. —回收成功
xhc_dba=> create table t000(id serial,id2 bigint);
ERROR: permission denied for schema public
xhc_dba=>

注1
单单回收某个用户的create权限是没有用的，必须回收public的create权限，
hc_dba=> revoke create on schema public from xhc_rw;
REVOKe
xhc_dba=> c - xhc_rw;
You are now connected to database "xhc_dba" as user "xhc_rw".
xhc_dba=> create t000(id bigint,id2 serial primary key);
xhc_dba=> create table t000(id bigint,id2 serial primary key);
CREATE TABLE
xhc_dba=>

注2
xhc_dba=> c
psql (9.5.2, server 9.4.10)
You are now connected to database "xhc_dba" as user "xhc_rw".
xhc_dba=> d

          List of relations

Schema	Name	Type	Owner
public	t000	table	xhc_rw

xhc_dba=> drop table t000;
虽然回收了xhc_rw的create权限，但是xhc_rw对以前建的表还是有ddl，权限的

注3
hc_dba=> c
psql (9.5.2, server 9.4.10)
You are now connected to database "xhc_dba" as user "xhc_test".
xhc_dba=> dn
List of schemas

Name	Owner
public	xhc_test

xhc_dba=> d

Schema	Name	Type	Owner
public	t11	table	xhc_rw

xhc_dba=> alter table t11 owner to xhc_test;
ALTER TABLE
xhc_dba=> alter table t11 owner to xhc_rw;
ERROR: permission denied for schema public
因为回收了所有用户的create权限，所以表的所属权是不可逆的，原来属于xhc_rw的表改成xhc_test之后就不能再改回来了

要想以后xhc_rw对不属于自己的表也有读写权限需要执行以下4句

grant select,insert,update,delete on all tables in schema public to xhc_rw;
WARNING: no privileges were granted for “test” —因为test表本来就属于xhc_rw用户，所以会有警告，如果把test 表owner改成xhc_test就不会有警告了
xhc_dba=> grant select,usage on all sequences in schema public to xhc_rw;
GRANT
xhc_dba=> alter default privileges in schema public grant select,update,delete,insert on tables to xhc_rw;
ALTER DEFAULT PRIVILEGES
xhc_dba=> alter default privileges in schema public grant select,usage on sequences to xhc_rw;
ALTER DEFAULT PRIVILEGES

微信关注我们

原文链接：https://yq.aliyun.com/articles/88815

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

【直击成都云栖大会】阿里云肖力：安全智能时代公共云更靠谱

3天，150多个国家，20多台万终端设备，一场突如其来的WannaCry蠕虫勒索病毒，让全世界意识到了网络世界的风险以及安全技术的重要性。在5月23日的云栖大会•成都峰会上，“安全”无疑成为焦点话题。阿里云表示基于数据智能的安全技术更适合未来，同时发布了帮助初创企业解决“安全”的问题“产业安全扶助计划”。 “这次比特币勒索事件证明公共云模式利用智能驱动和快速响应，能做到在事前解决安全问题。”阿里云资深总监肖力说，“物理隔离是靠不住的。物理隔离在补丁升级和安全响应上都存在一定的缺陷。我们相信，阿里云的安全技术能为用户护航，开启智能之路。” 在主题演讲中，肖力提出的安全理念是“智能防御”，依赖云计算及强大的计算能力来进行防御。“云计算带来了可见性。而可见性是安全的基础。只有看得见才能实施保护。”以这次比特币勒索事件为例，很多处于物理隔离的企业甚至无法统计多少服务器受影响。”形成对比的是，公共云可以提前预防，“如果学校、企业的系统是在公共云上，今天就不会遇到这个问题”。事实上，专业的云计算服务商在网络防御方面确实更专业。阿里云保护着中国37%的网站，有任何攻击变种方式都会第一时间知道。去年...

2017-05-23

459

Hi 童鞋！阿里云学生扶持项目『云翼计划』上线20个月啦，已经有2776所高校的20多万认证学生加入云翼计划！现在，云翼计划校园大使开始招募啦，校园大使负责协助我们在学校里推广云翼计划，让更多的同学接触到云计算。所以，你：想邀请技术大咖去你的学校吗？想体验人工智能的最新技术吗？想现场学习如何玩转云产品吗？想增加一些实践经验吗？想获得校招内推的机会吗？如果是，那欢迎报名校园云大使，与我们一起将云计算带入你的学校！立刻点击这里，开始报名吧！

2017-05-23

546

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。