Q&A
よく見ると
> ■データーベース内でスキーマを作らせない
> REVOKE CREATE ON SCHEMA public FROM ロールの名前;
とありますが、これはpublic スキーマ内でのcreate権限の削除で、スキーマを作らせないものでは無いと思いますけど?
PostgreSQL11で、あるロールからcreat tableの権限をREVOKEしたいです。
下記の2つで、データベース生成禁止、スキーマ生成禁止まではできました。
しかしスキーマ内でテーブルを自由に作成できてしまいます。
テーブル生成を禁止する方法はありますでしょうか?
■これでデーターベース生成の権限を削除
ALTER ROLE ロールの名前 NOCREATEDB;
■データーベース内でスキーマを作らせない
REVOKE CREATE ON SCHEMA public FROM ロールの名前;
逆を言えば、指定したDB内の指定したスキーマ内のテーブルをSELECTだけできればよいです。
どうか教えをお聞かせ下さい。
回答1件
0
テーブル生成を禁止する方法はありますでしょうか?
スキーマに対しての権限を与えます。
スキーマの中にテーブルなどのオブジェクトを作成する権限を追加する
追記
設定可能な権限に対して剥奪はできますけど、CREATE対象のオブジェクトとしてテーブルという概念はなさそうなので、剥奪は出来ないのではないかと思います。
GRANT — アクセス権限を定義する
CREATE
対象がデータベースの場合は、データベース内での新規スキーマの作成を許可します。対象がスキーマの場合は、スキーマ内での新規オブジェクトの作成を許可します。 既存のオブジェクトの名前を変更するには、オブジェクトを所有し、かつ、そのオブジェクトが入っているスキーマに対してこの権限を保持していなければなりません。
対象がテーブル空間の場合は、テーブル空間内でのテーブルとインデックス、一時ファイルの作成と、デフォルトのテーブル空間としてこのテーブル空間を持つデータベースの作成を許可します (この権限の取り消しによって既存のデータベースやスキーマの配置が変わることはないことに注意してください)。
逆を言えば、指定したDB内の指定したスキーマ内のテーブルをSELECTだけできればよいです。
スキーマーに対してまとめて行うなら
SQL
1GRANT SELECT ON ALL TABLES IN SCHEMA schema_name To role_name;
若しくはREVOKEで指定しているスキーマーが不足しているのではないでしょうか。
投稿2020/06/17 05:35
編集2020/06/17 08:08総合スコア25184
具体的なコマンドを記載していただけますでしょうか?
リンク先に具体的なコマンドで説明があります
GRANT CREATE ON SCHEMA schema_name To role_name;
すでに権限がある(テーブル生成できてしまう)ので、REVOKEしたいのです。
無いものは剥奪できないので、与えるものを積み上げるしかないでしょうね。
最初の回答はそういった意味です。
ご丁寧に記載していただきありがとうございます。せっかく色々と記載していただいのですが意味がわからないです。「無いものは剥奪できない。」と記載されていますが、実際今はテーブルが生成できます。つまり権限あります。これを剥奪したいです。GRANTから始まるコマンドは権限を付与するものなので、それを叩いても「テーブル生成権利剥奪」になりませんよね?
> 実際今はテーブルが生成できます。
つまり、「何も権限を与えないところまで戻してから、必要な分だけ追加する」ということかと思います。
> 実際今はテーブルが生成できます。つまり権限あります。
例えば、スパーユーザはスキーマに対する作成権限を含んでいますので、スキーマに対するcreate権限をrevokeしても、スーパーユーザ権限が残っていれば作成はできます。
与えたものしか削除する事は出来ませんけど、削除しようとしている権限そのものは与えたつもりはないのでしょう?
推測するに、スパーユーザー権限に対して一部権限を禁止しようとされているように見受けられます。
revokeは禁止ではありません、取消です。
該当する権限を持っていなければ実行しても無意味です。
先ずは、そのロールが持っている権限を確認してみて下さい。
@misumakunさん
フォローありがとうございます。
あなたの回答
tips
プレビュー
