У роли суперпользователя есть такие права, которые можно назначить и другим ролям, не являющимся суперпользователями. Например, роли вов предоставляется возможность создавать новые базы данных: Для создания новых пользователей понадобится назначить право createuser:
Однако обычным пользователям можно давать и более узкие права и контролируемый доступ к некоторым действиям, зарезервированным для суперпользователей, с помощью функций security definer. Аналогично можно передавать часть прав одного пользователя другому. Для начала вам необходимо иметь права суперпользователя БД. Предположим, что вы — суперпользователь по умолчанию postgres. Продемонстрируем два случая назначения обычному пользователю прав, доступных только суперпользователям. БД должна поддерживать внутренний язык PL/pgSQL. Начиная с версии 9.0 рекомендуется по умолчанию устанавливать поддержку PL/pgSQL во все новые базы данных, однако эту опцию могли изменить создатели пакетов или администраторы. Если поддержки нет, как суперпользователь PostgreSQL выполните следующее:
Когда вызывается функция с security definer, Postgres меняет права сессий для пользователя, который определил ее при выполнении. Таким образом, когда bob вызывает функцию copy_f rom, он фактически на время ее выполнения становится суперпользователем. Это похоже на функцию setuid в Unix-системах, где можно сделать так, чтобы все, у кого есть право исполнения программы, запускали ее на правах ее владельца. Риски при этом тоже сходные. Есть и другие операции, зарезервированные только для суперпользователей PostgreSQL, например настройка некоторых параметров. Некоторые параметры, контролирующие запись в журнал, могут определяться только суперпользователями.
Рубрика: Женский интерес
