一.gp用户权限级别
gp用户的权限级别有以下5类。
- 仅自己
- 基础
- 基础操作员
- 操作员
- 管理员(超级用户)
其中有超级用户的具有全部的权限,不需要进行任何的授权操作。默认的超级用户为gpadmin。可创建多个超级用户。
其他一般的用户,建外部表、创建角色、登陆权限、使用pxf等的权限,都需要进行授权才可以使用,可以在创建角色时指定权限,也可后期进行添加。
role,user基本是一样的,只是默认创建的role没有登录数据库的权限
role相关可以看官方文档:https://gpdb.docs.pivotal.io/6-1/ref_guide/sql_commands/CREATE_ROLE.html#topic1
(一般情况下不要使用超级用户、超级用户会被从资源队列限制中排除,超级发起的查询不受资源队列的控制)
二.管理对象权限
gp 的授权是单张表级别的授权
当创建对象(database\schema\table等)时,会为其分配一个所有者(owner),可以指定所有者,未指定则当前用户即为该对象的所有者。 所有者通常是执行创建语句的角色。
对于大多数类型的对象,初始状态是只有所有者(或超级用户)可以对该对象执行任何操作。 要允许其他角色使用它,必须授予权限。
具体的grant操作可以参考:
https://gpdb.docs.pivotal.io/6-1/ref_guide/sql_commands/GRANT.html 具体的revoke操作可以参考:
https://gpdb.docs.pivotal.io/6-1/ref_guide/sql_commands/REVOKE.html#topic1
将一张表授权给一个新的用户,新用户必须有表所在的database、schema以及表本身的权限,新用户才能最终访问到该表。
(DDL只有超级用户以及owner才能进行操作)
例子:
将gpdb下的gpschema.t1的select权限授权给新用户.
owner:admin
新用户:newrole
## 表授权需要以下三个步骤(次序可以颠倒):
## 将database授权给用户
GRANT ALL ON DATABASE gpdb TO newrole;
## 将schema授权给用户
GRANT ALL ON schema gpschema TO newrole;
## 将表的dml操作授权给用户
grant all on table gpschema.t1 to newrole; ## (只有dml的权限没有ddl权限)
## 仅将表的select操作授权给用户
grant select on table gpschema.t1 to newrole;
例子:
将gpdb下的gpschema下所有表的select权限授权给新用户。
owner:admin
新用户:newrole
## 授权需要以下三个步骤(次序可以颠倒):
## 将database授权给用户
GRANT ALL ON DATABASE gpdb TO newrole;
## 将schema授权给用户
GRANT ALL ON schema gpschema TO newrole;
## 将schema下所有表的dml操作授权给用户
grant all on all tables in schema gpschema to newrole; (只有dml的权限没有ddl权限,并且此种方式只能给已有的表授权,新建的表仍然是没有权限的) 这种授权方式在某种场景下有bug,下文会进行详解,要注意避免异常场景。
## 将schema下未来建的表也授权给用户
alter default privileges for user admin in schema gpschema grant all on tables to newrole; 表示未来admin用户在gpschema下创建的表的所有权限会默认赋值给newrole.
三.schema下全表授权的bug
bug描述:当schem的owner是超级用户时,超级用户(owner)执行schema下全部表的授权时,grant all on all tables in schema gpschema to newrole命令会导致单个segment节点奔溃,进入recovery mode 。需要几秒,甚至几十秒恢复(会自动恢复)。
即使后期更新该schema的owner为非超级用户时,此时依然无法使用以上命令进行整个schema表的授权。此时只能单表一张张进行授权。
解决方式:用以下将以下的{user}、{schema}替换为新的用户、以及需要授权的schema,即可获得所有该schema下的表的授权语句
当然最直接的方式就是,一开始就避免用超级用户去创建schema啦!!!!
## schema下单表授权的构造sql
select 'grant select on SCHEMA ' || tt.autnspname || ' to {user}' as grant_script from gp_toolkit.__gp_user_tables tt group by tt.autnspname
union
select 'grant select on table ' || tt.autnspname || '.' ||tt.autrelname || ' to {user}' grant_script from gp_toolkit.__gp_user_tables tt where tt.autrelname not like '%prt_part_%' and tt.autnspname = '{schema}'
## 执行以上的构造sql,完成现有的表进行授权后,再为未来schema下建的表进行授权即可
alter default privileges for user admin in schema gpschema grant all on tables to newrole; 表示未来admin用户在gpschema下创建的表的所有权限会默认赋值给newrole.