Операции с привилегиями

  • GRANT — Предоставление привилегий

  • REVOKE — Отзыв привилегий

Общая схема операций с привилегиями и ролями
Общая схема операций с привилегиями и ролями

Предоставление привилегий

Привилегии на схемы

GRANT <schema_privileges> ON SCHEMA <schema_name> TO [ROLE | USER] <name>;

Предоставляет роли или пользователю указанные привилегии на указанную схему.

<schema_privileges> — это список привилегий, разделенный запятыми.

Доступные привилегии на схемы:

  • ALL — все возможные действия со схемами.

  • ADMIN (псевдоним ALL) — все возможные действия со схемами.

  • MONITOR — разрешает доступ к метаинформации о схеме.

  • USAGE — разрешает доступ к объектам в схеме.

  • CREATE TABLE — позволяет создавать таблицы в схеме.

  • CREATE VIEW — позволяет создавать представления в схеме.

Ключевые слова ROLE и USER перед именем целевой роли или пользователя не являются обязательными.
Посмотреть пример

Предоставим роли junior_admin привилегии MONITOR и MODIFY на схему main_schema.

GRANT MONITOR, MODIFY
    ON SCHEMA main_schema
    TO ROLE junior_admin;

Привилегии на таблицы и представления

Прямой синтаксис:

GRANT <table_privileges>
    ON (TABLE | VIEW) <table_name>
    TO [ROLE | USER] <name>;

Темпоральный синтаксис:

GRANT <table_privileges>
    ON ALL [EXISTING] [[AND] FUTURE] (TABLES | VIEWS | TABLES AND VIEWS)
    IN [SCHEMA] <schema_name>
    TO [ROLE | USER] <name>;

Предоставляет роли или пользователю указанные привилегии на таблицу или представление внутри указанной схемы.

<table_privileges> — это список привилегий, разделенный запятыми.

Доступные привилегии на таблицы и представления:

  • ALL — все возможные действия с таблицами.

  • ADMIN (псевдоним ALL) — все возможные действия с таблицами.

  • SELECT — позволяет читать данные из таблицы.

  • INSERT — позволяет добавлять новые строки в таблицу.

  • UPDATE — позволяет изменять существующие строки в таблице.

  • DELETE — позволяет удалять строки из таблицы.

  • MODIFY — позволяет изменять структуру таблицы.

  • OWNERSHIP — позволяет изменять владельца таблицы.

  • TRUNCATE — позволяет удалить все строки из таблицы.

  • DROP — позволяет удалить таблицу.

Чтобы выдать привилегию на все существующие (или те, которые будут созданы в будущем) объекты внутри схемы, используется темпоральный синтаксис.

  • Модификатор EXISTING ограничивает предоставление привилегий только существующими объектами.

  • Модификатор FUTURE ограничивает предоставление привилегий объектами, которые будут созданы в будущем.

Если ни один модификатор не указан, то действие распространяется на все объекты — и уже существующие, и те, которые будут созданы в будущем.

Ключевые слова ROLE и USER перед именем целевой роли или пользователя не являются обязательными.
Посмотреть пример

Предоставим роли junior_admin привилегии SELECT и INSERT на все существующие таблицы и представления внутри схемы main_schema.

GRANT SELECT, INSERT
    ON EXISTING TABLES AND VIEWS
    IN SCHEMA main_schema
    TO ROLE junior_admin;

Привилегии на каталог

GRANT <catalog_privileges> ON CATALOG TO [ROLE | USER] <name>;

Предоставляет роли или пользователю указанные привилегии на каталог.

<catalog_privileges> — это список привилегий, разделенный запятыми.

Доступные привилегии на каталог:

  • ALL — все возможные действия с каталогом.

  • ADMIN (псевдоним ALL) — все возможные действия с каталогом.

  • CREATE USER — создание пользователей.

  • CREATE ROLE — создание ролей.

  • CREATE WORKER POOL — создание вычислительных пулов.

  • CREATE SCHEMA — создание схем.

Темпоральные модификаторы:

  • Модификатор EXISTING ограничивает предоставление привилегий только существующими объектами.

  • Модификатор FUTURE ограничивает предоставление привилегий объектами, которые будут созданы в будущем.

Ключевые слова ROLE и USER перед именем целевой роли или пользователя не являются обязательными.

Привилегии на вычислительные пулы

GRANT <worker_pool_privileges> ON WORKER POOL <worker_pool_name> TO [ROLE | USER] <name>;

Предоставляет роли или пользователю указанные привилегии на вычислительный пул.

<worker_pool_privileges> — это список привилегий, разделенный запятыми.

Доступные привилегии на вычислительные пулы:

  • ALL — все возможные действия с вычислительным пулом.

  • ADMIN (псевдоним ALL) — все возможные действия с вычислительным пулом.

  • ALTER — изменение вычислительного пула (права на выполнение команды ALTER WORKER POOL).

  • USAGE — использование вычислительного пула (права на выполнение команды USE WORKER POOL).

  • MONITOR — мониторинг вычислительного пула.

Посмотреть пример

Предоставим пользователю tengri_user привилегии USAGE и MONITOR на вычислительный пул compute_xl.

GRANT USAGE, MONITOR
    ON WORKER POOL compute_xl
    TO tengri_user;

Отзыв привилегий

REVOKE <schema_privileges>
    ON SCHEMA <schema_name> FROM [ROLE | USER] <name>;

REVOKE <table_privileges>
    ON (TABLE | VIEW) <table_name> [IN SCHEMA <schema_name>] FROM [ROLE | USER] <name>;

REVOKE <catalog_privileges>
    ON CATALOG FROM [ROLE | USER] <name>;

REVOKE <worker_pool_privileges>
    ON WORKER POOL <worker_pool_name> FROM [ROLE | USER] <name>;

Отзывает указанные привилегии на указанный объект у роли или пользователя.

<schema_privileges>, <table_privileges>, <catalog_privileges> и <worker_pool_privileges> — это списки привилегий, разделенные запятыми. Конкретные привилегии зависят от целевого объекта.

  • Модификатор EXISTING ограничивает отзыв привилегий только существующими объектами.

  • Модификатор FUTURE ограничивает отзыв привилегий объектами, которые будут созданы в будущем.

Посмотреть пример

Отзовем у роли junior_admin привилегии SELECT и INSERT на все существующие таблицы и представления внутри схемы main_schema.

REVOKE SELECT, INSERT
    ON EXISTING TABLES AND VIEWS
    IN SCHEMA main_schema
    FROM ROLE junior_admin;