Надання запитів на отримання таблиці в postgres

92

Як я можу запитати всі ГРАНТИ, надані об’єкту в postgres?

Наприклад, у мене є таблиця "mytable":

GRANT SELECT, INSERT ON mytable TO user1
GRANT UPDATE ON mytable TO user2

Мені потрібно щось, що дає мені:

user1: SELECT, INSERT
user2: UPDATE
sql  postgresql  grant 
markus
джерело

Відповіді:

108

Я вже знайшов:

SELECT grantee, privilege_type 
FROM information_schema.role_table_grants 
WHERE table_name='mytable'
markus
джерело
97

\z mytable від psql надає вам усі гранти з таблиці, але тоді вам доведеться розділити його на кожного користувача.

CPJ
джерело
ви б запустили це безпосередньо з панелі sql або командного рядка pg?
Daniel L. VanDenBosch
2
@ DanielL.VanDenBosch: усі мета-команди, наприклад \z, призначені для psql. А psql - це інтерфейс командного рядка для PostgreSQL.
Mike Sherrill 'Cat Recall'
29

Якщо вам дійсно потрібен один рядок на користувача, ви можете згрупувати за грантоотримувачем (потрібно PG9 + для string_agg)

SELECT grantee, string_agg(privilege_type, ', ') AS privileges
FROM information_schema.role_table_grants 
WHERE table_name='mytable'   
GROUP BY grantee;

Це повинно вивести щось на зразок:

 grantee |   privileges   
---------+----------------
 user1   | INSERT, SELECT
 user2   | UPDATE
(2 rows)
Ніколас Паярт
джерело
1
Майже те, що я хочу, чи можу я отримати точні GRANTs, такі як виводи pg_dump?
брауліобо
26

Запит нижче надасть вам список усіх користувачів та їх дозволи на таблицю в схемі.

select a.schemaname, a.tablename, b.usename,
  HAS_TABLE_PRIVILEGE(usename, quote_ident(schemaname) || '.' || quote_ident(tablename), 'select') as has_select,
  HAS_TABLE_PRIVILEGE(usename, quote_ident(schemaname) || '.' || quote_ident(tablename), 'insert') as has_insert,
  HAS_TABLE_PRIVILEGE(usename, quote_ident(schemaname) || '.' || quote_ident(tablename), 'update') as has_update,
  HAS_TABLE_PRIVILEGE(usename, quote_ident(schemaname) || '.' || quote_ident(tablename), 'delete') as has_delete, 
  HAS_TABLE_PRIVILEGE(usename, quote_ident(schemaname) || '.' || quote_ident(tablename), 'references') as has_references 
from pg_tables a, pg_user b 
where a.schemaname = 'your_schema_name' and a.tablename='your_table_name';

Детальніше про has_table_privilagesце можна дізнатися тут .

шрути
джерело
4
Це єдина відповідь тут, яка обчислює дозволи, отримані від членства в інших ролях, тому отримує мій голос. З іншого боку, я б сказав, has_table_privilege(usename, contact(schemaname, '.', tablename), ...)щоб уникнути двозначності.
Paul A Jungwirth
Плюс один - ЦЕ ЧИСТЕ ЗОЛОТО!
Даніель
9

У цьому запиті будуть перераховані всі таблиці у всіх базах даних та схемах (скасувати коментарі до рядків у WHEREпункті, щоб відфільтрувати певні бази даних, схеми чи таблиці), із зазначеними привілеями, щоб було легко зрозуміти, чи є надається конкретна пільга чи ні:

SELECT grantee
      ,table_catalog
      ,table_schema
      ,table_name
      ,string_agg(privilege_type, ', ' ORDER BY privilege_type) AS privileges
FROM information_schema.role_table_grants 
WHERE grantee != 'postgres' 
--  and table_catalog = 'somedatabase' /* uncomment line to filter database */
--  and table_schema  = 'someschema'   /* uncomment line to filter schema  */
--  and table_name    = 'sometable'    /* uncomment line to filter table  */
GROUP BY 1, 2, 3, 4;

Вихідні дані:

grantee |table_catalog   |table_schema  |table_name     |privileges     |
--------|----------------|--------------|---------------|---------------|
PUBLIC  |adventure_works |pg_catalog    |pg_sequence    |SELECT         |
PUBLIC  |adventure_works |pg_catalog    |pg_sequences   |SELECT         |
PUBLIC  |adventure_works |pg_catalog    |pg_settings    |SELECT, UPDATE |
...
isapir
джерело
це дає лише рядки, що відповідають користувачеві, який її виконав ... не всі гранти
Рікі Леві,
2

Додаючи до відповіді @ shruti

Запитувати гранти для всіх таблиць у схемі для даного користувача

select a.tablename, 
       b.usename, 
       HAS_TABLE_PRIVILEGE(usename,tablename, 'select') as select,
       HAS_TABLE_PRIVILEGE(usename,tablename, 'insert') as insert, 
       HAS_TABLE_PRIVILEGE(usename,tablename, 'update') as update, 
       HAS_TABLE_PRIVILEGE(usename,tablename, 'delete') as delete, 
       HAS_TABLE_PRIVILEGE(usename,tablename, 'references') as references 
from pg_tables a, 
     pg_user b 
where schemaname='your_schema_name' 
      and b.usename='your_user_name' 
order by tablename;
вишну нараянан
джерело
Це працює добре, якщо ви ввійдете як користувач із відповідними дозволами. Нітпік: Я раджу, щоб перехресне приєднання писалося явно, наприклад, FROM pg_tables AS a CROSS JOIN pg_user AS bа не спосіб SQL 92, який робить це комоюfrom pg_tables a, pg_user b
Давос,
1

Ось сценарій, який генерує запити на отримання дозволу для певної таблиці. Він опускає привілеї власника.

SELECT 
    format (
      'GRANT %s ON TABLE %I.%I TO %I%s;',
      string_agg(tg.privilege_type, ', '),
      tg.table_schema,
      tg.table_name,
      tg.grantee,
      CASE
        WHEN tg.is_grantable = 'YES' 
        THEN ' WITH GRANT OPTION' 
        ELSE '' 
      END
    )
  FROM information_schema.role_table_grants tg
  JOIN pg_tables t ON t.schemaname = tg.table_schema AND t.tablename = tg.table_name
  WHERE
    tg.table_schema = 'myschema' AND
    tg.table_name='mytable' AND
    t.tableowner <> tg.grantee
  GROUP BY tg.table_schema, tg.table_name, tg.grantee, tg.is_grantable;
Сахап Асі
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.