Q&A
ログインしたユーザーがSQLコマンドを直接実行するのでなければ、role毎のアクセス制限はあまり意味を持ちませんけど。
DB初心者です。
PostgreSQL 12です。
PostgreSQLサーバーは、AWS RDSを利用しております。
反例)
ユーザー:SQL実行者
グループ:アクセスできる範囲を意味しています。
グループ配下には、DB、スキーマ、テーブルが存在するとします。
グループA:ユーザー1、ユーザー2
グループB:ユーザー3、ユーザー4
グループA配下のテーブルは、ユーザー1、ユーザー2がSQLコマンドを実行でき、ユーザー3、ユーザー4SQLコマンドを実行できない。
グループB配下のテーブルは、ユーザー3、ユーザー4がSQLコマンドを実行でき、ユーザー1、ユーザー2SQLコマンドを実行できない。
この時、PostgreSQLの考え方として、グループを
・複数のDBで分ける
・1つのDBで複数のスキーマで分ける
の2つの方法があるかと思います。
各ユーザーは、グループごとの DB or スキーマ の設定をGRANTで行うことで制御できるかと思いますが、
ここで、DBで分ける場合とスキーマで分ける場合について、メリットデメリットをご教授いただきたいです。
一つのDATABASEに対して、複数のスキーマ(この場合グループA、グループBの計2つ)を作成し、アクセス制御を行う方法と、複数のDATABASE(この場合グループA、グループBの計2つ)を作成し、アクセス制御を行う方法は、どちらを選択するべきでしょうかといったご質問となります。
基本的には、「・1つのDBで複数のスキーマで分ける」の方が運用が楽という意味で、メリットがあるかと思いますが、
それくらいしか思いつかないため、何かそれ以外の根拠となる明確なご回答をいただきたいです。
回答1件
0
ベストアンサー
グループが操作できるデータが完全に分かれているなら、DATABASEを分ける方が、バックアップやリストアが行いやすいですね。
操作できるデータが分かれていない場合にDATABASEを分けてしまうと、外部リンクの設定を行う必要がありますし、外部リンクには制約や低速になりがちといった事があります。
SCHEMAの場合は逆ですね。
権限は、同一DATABASEでのオブジェクト(テーブル等)に対しての話ですから、オブジェクトの管理としてSchemaを利用するかどうかは直接関係はありません。
データベースを分けるのと同様な事がSCHEMAで可能かと言えばYesですが、SCHEMAをデータベースと同格にして同じことができるかと言えば、Noです。
現場でお客様にご説明しなければならず
あくまでヒントとして捉えて文献を参照するなどして自分で消化しておかないと、突っ込まれたら困る事になります。
投稿2021/07/03 04:45
編集2021/07/03 04:50総合スコア25206
失礼いたしました。不要なコメントを削除しました。
>権限は、同一DATABASEでのオブジェクト(テーブル等)に対しての話ですから、オブジェクトの管理としてSchemaを利用するかどうかは直接関係はありません。
こちらはつまり、グループごとの権限制御は一般的に、DATABASEで行うため、スキーマは直接関係ないという意味でしょうか?
また、スキーマとの違いにより、DATABASEで権限制御を行った方が良い根拠は何なのでしょうか?
権限はテーブル単位で設定できます。SCHEMAはそれをグループ化できると考えて下さい。
> スキーマとの違いにより、DATABASEで権限制御を行った方が良い
意味が理解できません。
データベースを分けた場合、データを共用したいといっても、外部リンクなどの設定をしない限りできません。
逆に共用が一切ないなら、データベースを分けた方が管理は簡単です。
そのグループ配下に所属しているユーザーは、そのグループ配下のテーブルのみSQLが実行できるという意味です。こちらを権限制御といっております。この時、このグループの設定は、DATABASEとスキーマのどちらで設定を行うべきか?またその根拠は何かといったご質問です。一つのDATABASEに対して、複数のスキーマ(この場合グループA、グループBの計2つ)を作成し、アクセス制御を行う方法と、複数のDATABASE(この場合グループA、グループBの計2つ)を作成し、アクセス制御を行う方法は、どちらを選択するべきでしょうかといったご質問となります。
roleの構成は、データベースとかスキーマとは関係なく独立しています。
21.3. ロールのメンバ資格[https://www.postgresql.jp/document/12/html/role-membership.html]
> DATABASEとスキーマのどちらで設定を行うべきか?またその根拠は何かといったご質問です。
回答しているつもりなんですが、どこが理解できませんか?
スキーマでグループごとのアクセス制御をやってはいけない理由がモヤッとしております。
やっていけないとは言っていませんけど。
最小単位はテーブルなどで、それをスキーマに配置してそのスキーマに権限を与えるのは、grantする数を減らせるので有用です。
言いたいのは、権限を制御するのに、データベースを分けるか、データベース内で分けるかという事で、データベース内をschemaに分けるのはあくまで管理の手段だという事です。
モヤッとしたくないなら、もっと具体的に利用目的を質問に追記した方が良いです。
回答やコメントでも、データの共有の有無についてなどに触れていますが、反応されていませんし。
>言いたいのは、権限を制御するのに、データベースを分けるか、データベース内で分けるかという事で、データベース内をschemaに分けるのはあくまで管理の手段だという事です。
すいません。。。ここがモヤっとしております。
結局、グループで権限制御を行う場合、データベース or スキーマをどちらとも利用できるということで、
「あくまで管理の手段」が良い意味なのか悪い意味なのか、、、、、、、、、、
個人的には、管理の手段としてschemaを利用するのは良い事だと思いますよ。
ただそれも、目的に応じて決める事です。
あなたの回答
tips
プレビュー
