1、什么是角色
Role的组成:用户(User)和组(Group)
跟OS的role没有关系
User通过Master登录和认证
Role是定义在GPDB系统级别的
初始化SUPERUSER ROLE:gpadmin
2、角色与权限安全的最佳实践
保护系统User gpadmin
为每个登录的User分配不同的Role
使用Group来管理权限:统一管理、分配权限。
控制具备SUPERUSER属性的User数量
3、创建Role
(1)创建用户User Role
使用create role创建一个User Role
例:create role demo_role with login;
createdb | nocreatedb :是否创建数据库的权限
createrole | nocreaterole:是否创建角色的权限
inherit | noinherit:是否继承
login | nologin:是否能登陆,一般要给
connection limit connlimit:限制连接数,管理员平衡它的负载,2或3等
password ‘password_demo’:设置这个用户的登录密码
encrypted | unencrypted:是否对密码进行加密,默认要加密
valid until ‘timestamp_demo’:这个用户直到什么时间是有效的
resource queue_name:设置指定的资源队列
deny { deny_interval | deny_point }:限制可以访问数据库的时间;例如数据库的ETL,就不能访问数据库
(2)创建组Group Role
组一般管理分配任务
1)使用create role 创建一个Group Role:create role admin_group createrole createdb;
2)添加或删除Member(User Role)
添加:grant admin_group to role_demo;
删除:revoke admin_group from role_demo;
(3)赋予合适的权限给group role
GRANT ALL ON TABLE mytable TO admin_group;
GRANT ALL ON SCHEMA myschema TO admin_group;
GRANT ALL ON DATABASE mydb TO admin_group;
(4)获取管理属性
组没有创建角色和创建库的权限,需要输入这个命令才能创建:SET ROLE admin_group
4、管理对象权限
每个对象的权限必须被独立的授权
(1)使用GRANT SQL 命令给指定的Role授权一个对象:
GRANT INSERT ON mytable TO role_demo;
(2)使用DROP OWNED 和 EASSIGN OWNED命令来取消Role的Owner权限:
REASSIGN OWNED BY role_demo TO tom;(只能用超级用户来取消)
DROP WONEN BY role_demo;
(3)模拟Row或者Column级别的权限控制
本身不支持Row和Column级别的访问控制,可以通过View方式模拟。
(4)密码加密
5、基于时间的登录认证
访问限制可以到具体时间点;
时间约束仅仅对于设置的Role有效;
(1)需要的权限
SUPERUSER 或者 CREATEROLE 权限是必须的;
(2)如何添加时间约束
在CREATE ROLE 或者 ALTER ROLE的时候使用DENY关键字来实现:
1)某天或者某个时间访问限制;
2)一个开始时间和结束时间的访问控制;
(3)基于时间的登录认证
(4)配置客户端认证
标签:group,demo,greenplum,role,User,Role,权限,客户端 From: https://www.cnblogs.com/xiao-wang-tong-xue/p/16819034.html