GRANT

PostgreSQL 8.3.3문서
Prev	Fast Backward		Fast Forward	Next

설명

GRANT에는 기본적으로 2개의 종류가 있습니다. 1개는 데이터베이스 오브젝트(테이블, 뷰, 순서, 데이터베이스, 함수, 수속 언어, schema, 테이블 공간)에 대한 권한의 부여, 다른 한개는 롤내의 멤버 자격의 부여입니다. 이러한 종류는 많은 점이 닮았지만, 개별적으로 차이점이 충분히 설명되어 있습니다.

PostgreSQL 8.1에서, 사용자와 그룹이라고 하는 개념은 롤로 불리는 단일 종류의 실체에 통합되었습니다. 따라서, 더이상 GROUP키워드를 사용해 권한을 부여하는 대상이 그룹인가 한 사용자인가를 구별하는 필요성이 없어졌습니다. GROUP는 아직 이 명령로 사용할 수 있지만, 의미가 없는 단어입니다.

데이터베이스 오브젝트에 대한 GRANT

이 종류의GRANT명령은 데이터베이스 오브젝트의 특정의 권한을 1개나 그 이상의 롤에 부여합니다. 이미 권한이 다른 롤에 부여되고 있는 경우에서도 추가로서 부여됩니다.

PUBLIC키워드는 향후 작성되는 롤을 포함한 모든 롤에의 허가를 나타냅니다. PUBLIC는 항상 모든 롤을 항상 포함한 암묵적으로 정의된 그룹이라고 생각할 수가 있습니다. 개개의 롤은 모두 롤에 직접 허가된 권한 롤이 현재 속하고 있는 롤에 허가된 권한 그리고PUBLIC에 허가된 권한을 맞춘 권한을 가지고 있습니다.

WITH GRANT OPTION가 지정되면 권한을의 수령자는 그 후, 그 밖에 그 권한을 줄 수가 있습니다. 그랜트 옵션이 없는 경우, 수령자는 이것을 실시할 수가 없습니다. 그랜트 옵션은PUBLIC에는 줄 수가 없습니다.

오브젝트 소유자(통상은 오브젝트를 작성한 사용자)는 기본값으로 모든 권한을 보관 유지하고 있기 때문에, 오브젝트의 소유자에게 권한을 허가할 필요는 없습니다 (그러나 오브젝트의 작성자가 안전성을 확보하기 위해서 스스로의 권한을 취소하는 것은 가능합니다). 오브젝트를 삭제하는 권한이나 어떠한 방법으로 오브젝트의 정의를 변경하는 권한은 부여 가능한 권한으로서 기술할 수가 없습니다. 이러한 권한은 소유자 고유의 것이며 허가하거나 취소하거나 할 수 없습니다. 소유자는 오브젝트에 대한 모든 그랜트 옵션도 암묵적으로 보관 유지하고 있습니다.

오브젝트의 종류에 따라서는 기본 권한으로서 최초부터 몇개의 권한이PUBLIC에 부여되고 있는 일이 있습니다. 기본값에서는 테이블, schema, 테이블 공간에 관해서 PUBLIC에게 줄 수 있었던 액세스권한은 없습니다. PUBLIC에게 줄 수 있는 것은CONNECT권한, 데이터베이스의TEMP테이블의 작성 권한, 함수의EXECUTE권한, 언어의USAGE권한 등입니다. 물론 오브젝트의 작성자는 이러한 권한을 취소할 수가 있습니다 (최대한의 안전성을 얻기 위해REVOKE명령은 오브젝트를 작성한 트랜잭션(transaction)와 같은 트랜잭션(transaction)내에서 발행해 주세요. 그러면 다른 사용자가 그 오브젝트를 사용하는 시간은 없어집니다).

설정 가능한 권한은 이하의 것입니다.

SELECT

지정한 테이블, 뷰, 순서의 임의의 열에 대한 SELECT 을 허가합니다. 또, COPY TO의 사용도 허가합니다. UPDATE (이)나 DELETE 로 존재하는 열을 참조하기 위해서도, 이 권한은 필요합니다. 순서에서는 이 권한에 의해currval함수를 사용할 수가 있습니다.

INSERT

지정한 테이블에의 신규행의 것 INSERT 을 허가합니다. 또, COPY FROM의 사용도 허가합니다.

UPDATE

지정한 테이블의 임의의 열에 대한 UPDATE 을 허가합니다. (실제로는, 단순하지 않는UPDATE명령은 모두,SELECT권한을과 같이 필요로 합니다. 어느 행을 갱신해야할 것인가를 결정하기 위해 또는 열의 새로운 값을 계산하기 위해 또는 그 양쪽 모두이기 때문에 테이블열을 참조할 필요가 있습니다. ) SELECT ... FOR UPDATE및SELECT ... FOR SHARE도 SELECT권한에 가세해, 이 권한을 필요로 합니다. 순서에서는, 이 권한에 의해nextval및setval의 사용이 허가됩니다.

DELETE

지정한 테이블에서의 행의 DELETE 을 허가합니다. (실제로는, 단순하지 않는DELETE명령은 모두,SELECT권한을과 같이 필요로 합니다. 어느 행을 삭제해야할 것인가를 결정하기 위해서 테이블열을 참조할 필요가 있기 때문입니다. )

REFERENCES

외부 키 제약을 작성하려면 , 참조하는 측과 참조되는 측의 양쪽 모두의 테이블에 대해서, 이 권한을 가지고 있지 않으면 안됩니다.

TRIGGER

지정한 테이블상의 트리거의 작성을 허가합니다 ( CREATE TRIGGER 문장을 참조해 주세요).

CREATE

대상이 데이터베이스의 경우는 데이터베이스내에서의 신규 schema의 작성을 허가합니다.

대상이 schema의 경우는 schema내에서의 새로운 오브젝트의 작성을 허가합니다. 기존의 오브젝트의 이름을 변경하려면, 오브젝트를 소유해, AND , 그 오브젝트가 들어가 있는 schema에 대해서 이 권한을 보관 유지해야 합니다.

대상이 테이블 공간의 경우는 테이블 공간내에서의 테이블과 인덱스, 일시 파일의 작성과 기본의 테이블 공간으로서 이 테이블 공간을 가지는 데이터베이스의 작성을 허가합니다 (이 권한의 취소에 의해 기존의 오브젝트의 위치가 바뀌지 않는 다는 것에 주의해 주세요.)

CONNECT

사용자는 지정된 데이터베이스에 접속할 수가 있습니다. 이 권한은(pg_hba.conf로 강요되는 제한의 검사에 의해) 접속 시작시에 검사됩니다.

TEMPORARY TEMP

지정한 데이터베이스의 사용중에 임시 테이블을 작성하는 것을 허가합니다.

EXECUTE

지정된 함수, 한층 더 그 함수로 실장되고 있는 임의의 연산자의 사용을 허가합니다. 이것은 함수에 적용할 수가 있는 유일한 권한입니다 (이 구문은 집약 함수에 대해서도 똑같이 기능합니다).

USAGE

절차 언어에 대해 그 언어로 함수를 작성하는 것을 허가합니다. 이것은 절차 언어에 적용할 수가 있는 유일한 권한입니다.

schema에 대해 지정한 schema에 포함되는 오브젝트에의 액세스를 허가합니다(오브젝트 자체의 권한 요건이 채워지고 있는 경우). 기본적으로는, 이 권한에 의해 schema내의 오브젝트를"검색"하는 권한도 인정됩니다. 이 권한이 없어도, 예를 들면 시스템 테이블을 쿼리하는 것으로 여전히 그 오브젝트 이름을 알 수 있습니다. 또, 이 권한을 없앤 다음에도 계속 존재하고 있는 연구 최종 단계에 이러한 검색을 이전에 실행하고 있던 명령문을 가지고 있을 가능성이 있습니다. 이 때문에, 이것은 오브젝트에의 접근을 막는 완전하게 안전한 방법이 아닙니다.

시퀀스에 대해, 이 권한은currval및 nextval함수의 사용을 허가합니다.

ALL PRIVILEGES

이용 가능한 모든 권한을 한 번에 부여합니다. PRIVILEGES키워드는PostgreSQL에서는 생략 가능하지만, 엄밀하게는 SQL에서는 필수입니다.

그 외의 명령은 실행에 필요한 권한은, 그 명령은의 참조 페이지에서 나타나고 있습니다.

GRANT on Roles

이 GRANT명령의 다른점은 한 롤에서 1개이상의 롤내의 멤버 자격을 부여합니다. 이것에 의해 롤에 부여된 권한을 각 멤버에게 전하기 때문에, 롤내의 멤버 자격은 중요합니다.

WITH ADMIN OPTION가 지정되었을 경우, 멤버는 롤내의 멤버 자격을 그 밖에 부여할 수가 있게 됩니다. 뿐만 아니라 롤내의 멤버 자격을 취득할 수도 있게 됩니다. Administrator 옵션이 없으면 일반 유저는 외에의 권한의 부여나 채택하고도 실시할 수가 없습니다. 그러나, 데이터베이스 슈퍼 유저는 모든 롤내의 멤버 자격을 누구라도 부여하거나 삭제하거나 할 수가 있습니다. CREATEROLE권한을 가지는 롤은, 슈퍼 유저 롤 이외의 롤내의 멤버 자격의 부여, 취소가 가능합니다.

권한의 경우와 달리, 롤내의 멤버 자격을PUBLIC에 부여할 수 없습니다. 또, 이 명령은 구문에서는 무의미한GROUP라고 하는 단어를 받아들이지 않는 것에 주의해 주세요.

주석

REVOKE 명령은 접근 권한을 취소하려고 사용합니다.

오브젝트의 소유자도 아니고 그 오브젝트에 어떤 권한도 가지지 않는 사용자가 그 오브젝트의 권한을GRANT하려고 해도 명령의 실행은 즉시 실패합니다. 어떠한 권한을 가지고 있는 한, 명령의 실행은 진행하지만, 줄 수 있는 권한은 그 사용자가 그랜트 옵션을 가지는 것입니다. 그랜트 옵션을 가지고 있지 않은 경우,GRANT ALL PRIVILEGES구문은 경고 메세지를 발표합니다. 한편, 그 외의 구문에서는 명령으로 이름을 지정한 권한에 관한 그랜트 옵션을 가지고 있지 않은 경우에 경고 메세지를 발표합니다 (원리상, 여기까지의 설명은 오브젝트의 소유자에 대해서도 적용되지만, 소유자는 항상 모든 그랜트 옵션을 보관 유지하고 있는 것으로서 다루어지기 때문에, 이러한 상태는 결코 일어나지 않습니다).

데이터베이스 슈퍼 유저만이 오브젝트에 관한 권한 설정에 관계없이 모든 오브젝트에 액세스 할 수 있는 것에는 주의해야 합니다. 슈퍼 유저가 가지는 권한은 Unix 시스템에 있어서의root권한을 닮아 있습니다. root와 같이 절대로 필요한 경우 이외는 슈퍼 유저로서 조작을 실시하지 않는 것이 현명합니다.

슈퍼 유저가GRANT나REVOKE의 발행을 선택했을 경우, 그러한 명령을 대상으로 하는 오브젝트의 소유자가 발행했는지와 같이 실행됩니다. 특히, 이러한 명령으로 주어지는 권한은 오브젝트의 소유자에 의해 주어진 것으로서 나타내집니다. (롤의 멤버 자격에서 멤버 자격은 포함되는 롤 자신이 준 것으로서 나타내집니다. )

GRANT및REVOKE는, 영향을 주는 오브젝트의 소유자 이외의 롤에 의해 실행할 수도 있지만, 오브젝트를 소유하는 롤의 멤버나 그 오브젝트에 대해WITH GRANT OPTION권한을 가지는 롤의 멤버가 아니면 안됩니다. 이 경우, 그 권한은, 그 오브젝트의 실제의 소유자 롤 또는WITH GRANT OPTION권한을 가지는 롤에 의해 부여된 것으로서 기록됩니다. 예를 들면 만약 t1테이블이g1롤에 의해 소유되어u1가g1롤의 멤버이다고 합니다. 이 경우u1는t1상의 권한을u2에 부여할 수 있습니다. 그러나, 이러한 권한은g1에 의해 직접 부여된 것으로서 나타납니다. 다음에g1롤의 다른 멤버가 이 권한을 취소할 수가 있습니다.

GRANT를 실행한 롤이, 롤이 가지는 복수 멤버 자격의 경로를 통해 간접적으로 필요한 권한을 가지는 경우, 어느 롤이 권한을 부여한 롤로서 기록에 대해서는 지정되지 않습니다. 이러한 경우 SET ROLE를 사용해 GRANT를 실시하게 하고 싶은 특정의 롤이 되는 것을 추천 합니다.

테이블에의 권한 부여에 의해,SERIAL열에 의해 관련짓고 된 순서를 포함한, 그 테이블로 사용되는 순서에의 권한의 확장은 자동적으로 행해지지 않습니다. 순서에의 권한은 별도 설정해야 합니다.

현시점에서는 PostgreSQL는 테이블의 개개의 열에 대해서 권한을 부여하거나 취소하거나 할 수가 없습니다. 이것을 회피하려면, 대상으로 하는 열을 가지는 뷰를 작성해 그 뷰에 대해서 권한을 부여합니다.

기존의 권한에 대한 정보를 얻으려면 이하의 예와 같이 psql 의\z명령을 사용해 주세요.

=> \z mytable

                        Access privileges for database "lusitania"
 Schema |  Name   | Type  |                     Access privileges
--------+---------+-------+-----------------------------------------------------------
 public | mytable | table | {miriam=arwdxt/miriam,=r/miriam,"group todos=arw/miriam"}
(1 row)

The entries shown by \z are interpreted thus:

              =xxxx -- privileges granted to PUBLIC
         uname=xxxx -- privileges granted to a user
   group gname=xxxx -- privileges granted to a group

                  r -- SELECT(독해(read))
                  w -- UPDATE(기입(write))
                  a -- INSERT (추가(append))
                  d -- DELETE
                  x -- REFERENCES
                  t -- TRIGGER
                  X -- EXECUTE
                  U -- USAGE
                  C -- CREATE
                  c -- CONNECT
                  T -- TEMPORARY
             arwdxt -- 모든 권한(테이블용)
                  * -- 직전의 권한에 관한 그랜트 옵션

              /yyyy -- 이 권한을 부여한 롤

상기의 예에서는 mytable테이블을 작성해, 다음의 명령을 실행한 후에miriam사용자에게 표시됩니다.

GRANT SELECT ON mytable TO PUBLIC;
GRANT SELECT, UPDATE, INSERT ON mytable TO admin;

어느 오브젝트의"액세스권한"렬이 빈 경우, 그 오브젝트는 기본의 권한을 가지고 있는 것을 의미합니다(즉 권한 필드가 NULL). 기본 권한은 항상 그 소유자의 모든 권한이 포함되어 있지만, 오브젝트의 종류에 따라서는 PUBLIC의 권한이 포함되어 있는 일이 있습니다. 이것에 대해서는 이미 설명한 대로입니다. 오브젝트 타입에 대한 처음에 GRANT또는 REVOKE가 실행되면 기본 권한이 증명되고 (예를 들면{miriam=arwdxt/miriam}와 같이 작성됩니다), 주어진 요구에 의해 이것들을 변경합니다.

소유자가 암묵중에 가지는 그랜트 옵션은 상기의 액세스권한의 표시에 출력되어 있지 않은 점에 주목해 주세요. *(은)는 그랜트 옵션이 명시적으로 누군가에게 주어졌을 경우에게만 출력됩니다.

예제

films테이블에 삽입 권한을 모든 사용자에게 줍니다.

GRANT INSERT ON films TO PUBLIC;

kinds뷰에 있어서의 이용 가능한 모든 권한을 manuel사용자에게 줍니다.

GRANT ALL PRIVILEGES ON kinds TO manuel;

위의 명령을 슈퍼 유저나kinds의 소유자가 실행했을 경우는 모든 권한이 부여되지만, 다른 사용자가 실행했을 경우는 그 사용자가 그랜트 옵션을 가지는 권한만이 부여되는 것에 주의해 주세요.

admins롤내의 멤버 자격을joe사용자에게 줍니다.

GRANT admins TO joe;

호환성

표준 SQL에 따라 ALL PRIVILEGES내의PRIVILEGES는 필수입니다. 표준 SQL에서는 1개의 명령에 의한 복수 오브젝트에의 권한의 설정을 지원하고 있습니다.

PostgreSQL에서는 오브젝트의 소유자는 자신이 가지는 권한을 취소할 수가 있습니다. 예를 들면, 테이블 소유자는 자신의 INSERT, UPDATE, DELETE 권한을 취소하는 것으로, 자신에게 있어 그 테이블을 읽기전용으로 변경할 수가 있습니다. 이것은, 표준 SQL에서는 불가능합니다. PostgreSQL에서는 소유자의 권한을 소유자 자신에 의해 주어진 것으로서 취급하고 있기 때문에, 똑같이 소유자 자신으로 권한을 취소할 수가 있게 되어 있습니다. 표준 SQL에서는 소유자의 권한은 가상적인"_SYSTEM"실체에 의해 주어진 것으로서 취급하고 있습니다. 그 때문에 소유자는 그 권한을 취소할 수가 없습니다.

표준SQL은 한 테이블의 각각의 열의 설정 권한을 허락합니다.

GRANT 
privileges

    ON 
table
 [ ( 
column
 [, ...] ) ] [, ...]
    TO { PUBLIC | 
username
 [, ...] } [ WITH GRANT OPTION ]

표준 SQL에서는 캐릭터 세트, 집합, 번역, 도메인이라고 하는 그 외의 종류의 오브젝트에 대해서 USAGE권한을 부여할 수가 있습니다.

데이터베이스, 테이블 공간, schema, 언어에 대한 권한은PostgreSQL의 확장입니다.

GRANT

Name

Synopsis

설명

데이터베이스 오브젝트에 대한 GRANT

GRANT on Roles

주석

예제

호환성

관련 항목