PostgreSQL 8.3.3문서
Prev	Fast Backward	Chapter 18. 데이터베이스 롤과 권한	Fast Forward	Next

18.4. 롤의 멤버 자격

권한의 관리를 간단하게 하기 위해서, 사용자를 그룹에 정리하는 것은 자주 편리합니다. 그룹 전체에 대해서 권한을 수여하는 일도, 취소할 수도 있습니다. PostgreSQL에서는, 그룹을 나타내는 롤을 작성하는 것으로 행해집니다. 그리고, 그 그룹 롤에 개개의 사용자 롤의멤버 자격을 줍니다.

그룹 롤을 설정하려면 , 우선 롤을 작성합니다.

CREATE ROLE 
name
;

통상적으로, 그룹으로서 사용되는 롤에는LOGIN속성을 갖게하지 않습니다. 그러나, 원한다면 갖게할 수도 있습니다.

그룹 롤을 일단 작성하면, GRANT 및 REVOKE 명령을 사용해 멤버의 추가와 삭제를 실시할 수가 있습니다.

GRANT 
group_role
 TO 
role1
, ... ;
REVOKE 
group_role
 FROM 
role1
, ... ;

다른 그룹 롤에의 멤버 자격을 줄 수도 있습니다. (그룹 롤과 비그룹 롤과의 사이에는 실제로는 구별이 없기 때문입니다. ) 데이터베이스는 그룹의 멤버 자격을 루프 시키지 않습니다. 또, 롤내의 멤버 자격을PUBLIC에 부여할 수 없습니다.

롤의 멤버는, 2개의 방법으로 그룹 롤의 권한을 사용할 수가 있습니다. 우선, 그룹내의 모든 멤버는 명시적으로, 일시적으로 그 그룹 롤이"되기"때문에 SET ROLE 를 실시할 수가 있습니다. 이 상태에서는, 데이터베이스 세션은 원래의 로그인 롤의 권한은 아니고 그룹의 권한으로 접근됩니다. 그리고, 작성된 데이터베이스 객체의 소유자는 로그인 롤은 아니고 그룹 롤이다고 보입니다. 2번째는,INHERIT속성을 가지는 멤버 롤은, 자동적으로 멤버 자격을 가지는 롤군의 권한을 사용합니다. 예를 들어 다음과 같이 가정했습니다.

CREATE ROLE joe LOGIN INHERIT;
CREATE ROLE admin NOINHERIT;
CREATE ROLE wheel NOINHERIT;
GRANT admin TO joe;
GRANT wheel TO admin;

joe롤로 접속하자마자,joe는admin권한을"계승"하기 때문에, 그 데이터베이스 세션에서는joe에 직접 주어진 권한에 더해,admin에게 줄 수 있었던 권한을 사용할 수가 있습니다. 그러나,wheel에게 줄 수 있었던 권한은 이용할 수 없습니다. joe는 간접적으로wheel의 멤버입니다만,admin경유의 멤버 자격은NOINHERIT속성을 가지고 있기 때문입니다.

SET ROLE admin;

세션은admin에게 줄 수 있었던 권한만을 사용할 수 있게 됩니다. joe에게 줄 수 있었던 권한은 사용할 수 없게 됩니다.

SET ROLE wheel;

세션은wheel에게 줄 수 있었던 권한만을 사용할 수 있게 되어,joe나admin에게 줄 수 있었던 권한은 사용할 수 없게 됩니다. 원래 상태의 권한으로 되돌리려면 , 이하의 어느 것을 실시하여 되돌릴 수 있습니다.

SET ROLE joe;
SET ROLE NONE;
RESET ROLE;

Note: SET ROLE명령은 언제라도, 원래의 로그인 롤이 직접 혹은 간접적으로 멤버 자격을 가지는 모든 롤을 선택할 수가 있습니다. 따라서, 위의 예에 대해,wheel가 되기 전에admin가 되는 것은 필요 없습니다.

Note: SQL 표준에서는, 사용자와 롤과의 사이에 명확한 차이가 있어, 사용자는 롤과 같이 자동적으로 권한을 계승할 수가 없습니다. PostgreSQL로 이 행동을 실현하려면, SQL 롤로서 사용하는 롤에는INHERIT속성을 부여해, SQL 사용자로서 사용하는 롤에는NOINHERIT속성을 부여합니다. 그러나, 8.1 버젼보다 전버젼과의 호환성을 보관 유지하기 위해서,PostgreSQL는 기본값으로, 모든 롤에INHERIT속성을 부여합니다. 이전에는, 사용자는 항상 멤버로서 속하는 그룹에 부여된 권한을 항상 사용할 수 있었습니다.

LOGIN,SUPERUSER,CREATEDB, CREATEROLE롤 속성은, 특별한 권한으로 간주할 수가 있습니다만, 데이터베이스 객체에 대한 통상의 권한과 같이 계승되지 않습니다. 이러한 속성의 하나를 사용할 수 있도록 하기 위해서는, 그 속성을 특정의 롤로 설정하도록 실제로 SET ROLE를 실시할 필요가 있습니다. 위의 예를 계속하면,admin롤에CREATEDB권한과CREATEROLE 권한을 부여하는 것을 선택할 수가 있습니다. 이렇게 하면,joe롤로서 접속하는 세션에서는 이러한 권한은 없습니다. SET ROLE admin를 실시한 다음에, 이 권한을 가집니다.

그룹 롤을 삭제하려면, DROP ROLE 를 사용해 주세요.

DROP ROLE 
name
;

그룹 롤내의 멤버 자격도 자동적으로 다루어집니다. (그러나, 멤버 롤에는 아무 영향도 없습니다. ) 그러나, 먼저 그룹 롤이 소유하는 객체를 모두 삭제되거나 소유자를 변경해 둘 필요가 있어, 또, 그룹에 부여된 권한도 모두 다루어지는 것에 주의해 주세요.

Prev	Home	Next
권한	Up	함수와 트리거