RDS PostgrSQL实例精细化管理账号权限_云数据库 RDS(RDS)-阿里云帮助中心

本文介绍如何对RDS PostgreSQL实例中的账号权限进行精细化管理。

配置原则

创建角色（Role）作为权限集合，对权限管理的细分操作集中在Role上。Role没有登录权限。在Role的基础上创建user账号来作为登录账号使用。使用user = role + login权限的账号权限管理模型，当Role的权限变化时，user账号权限会自动跟随Role变化。

权限管理设计模型

该模型简单有效，推荐绝大多数客户使用。

1个RDS PostgreSQL高权限账号，具有所有权限，由少量资深DBA掌握。
项目或者团队维度，1个资源owner账号，2个基本Role：{project}_role_readwrite、{project}_role_readonly。
说明
如果有更多细分需求，可以根据需要新建Role。
在Role的基础上创建业务账号：业务账号user = role + login权限。
1个项目或团队可以有多个Schema。权限分配尽量以Schema或Role为单位。
业务表请勿放到schema public中。因为PostgreSQL默认所有用户对schema public都有CREATE和USAGE权限。

权限规划示例

本示例以项目维度进行权限管理示例，同样也适用于团队维度。

DBA拥有RDS PostgreSQL实例的高权限账号，名称是dbsuperuser。
业务项目名称是rdspg，新建schema名称是rdspg、rdspg_1。

项目中新增的资源owner账号和Role规划如下：

user/Role	schema中表权限	schema中存储过程权限
rdspg_owner (user)，是唯一的项目资源owner账号	DDL：CREATE、DROP、ALTER DQL：SELECT DML：UPDATE、INSERT、DELETE	DDL：CREATE、DROP、ALTER DQL：SELECT，调用存储过程
rdspg_role_readwrite (role)	DQL：SELECT DML：UPDATE、INSERT、DELETE	DQL（SELECT，调用存储过程），若存储过程有DDL操作，会抛出权限相关错误。
rdspg_role_readonly (role)	DQL(SELECT)	DQL（SELECT，调用存储过程），若存储过程有DDL或者DML操作，会抛出权限相关错误。

新增业务账号时，根据不同需求，采用如下管理模式创建：

rdspg_readwrite = rdspg_role_readwrite + login权限
rdspg_readonly = rdspg_role_readonly + login权限

配置步骤

创建项目资源owner账号rdspg_owner和项目Role。

DBA使用dbsuperuser高权限账号执行如下操作。

--- rdspg_owner 是项目管理账号,此处密码仅为示例，请注意修改。
CREATE USER rdspg_owner WITH LOGIN PASSWORD 'asdfy181BASDfadasdbfas';

CREATE ROLE rdspg_role_readwrite;
CREATE ROLE rdspg_role_readonly;

--- 设置: 对于rdspg_owner 创建的表，rdspg_role_readwrite 有 DQL（SELECT）、DML（UPDATE、INSERT、DELETE）权限。
ALTER DEFAULT PRIVILEGES FOR ROLE rdspg_owner GRANT ALL ON TABLES TO rdspg_role_readwrite;

--- 设置: 对于rdspg_owner 创建的SEQUENCES，rdspg_role_readwrite 有 DQL（SELECT）、DML（UPDATE、INSERT、DELETE）权限。
ALTER DEFAULT PRIVILEGES FOR ROLE rdspg_owner GRANT ALL ON SEQUENCES TO rdspg_role_readwrite;

--- 设置: 对于 rdspg_owner 创建的表， rdspg_role_readonly 只有 DQL（SELECT）权限。
ALTER DEFAULT PRIVILEGES FOR ROLE rdspg_owner GRANT SELECT ON TABLES TO rdspg_role_readonly;

创建rdspg_readwrite、rdspg_readonly业务账号。

DBA使用dbsuperuser高权限账号执行如下操作。

--- rdspg_readwrite只有 DQL（SELECT）、DML（UPDATE、INSERT、DELETE）权限。
CREATE USER rdspg_readwrite WITH LOGIN PASSWORD 'dfandfnapSDhf23hbEfabf';
GRANT rdspg_role_readwrite TO rdspg_readwrite;

--- rdspg_readonly只有 DQL（SELECT）权限。
CREATE USER rdspg_readonly WITH LOGIN PASSWORD 'F89h912badSHfadsd01zlk';
GRANT rdspg_role_readonly TO rdspg_readonly;

创建schema rdspg，并授权给项目Role。

DBA使用dbsuperuser高权限账号执行如下操作。

--- schema rdspg的owner是 rdspg_owner账号
CREATE SCHEMA rdspg AUTHORIZATION rdspg_owner;

--- 授权ROLE相关SCHEMA访问权限。
GRANT USAGE ON SCHEMA rdspg TO rdspg_role_readwrite;
GRANT USAGE ON SCHEMA rdspg TO rdspg_role_readonly;

说明

rdspg_readwrite和rdspg_readonly自动继承了相关Role的权限变更，不需要再额外操作。

应用场景示例

场景1：使用rdspg_owner账号：对schema rdspg中的表进行DDL（CREATE、DROP、ALTER）操作

CREATE TABLE rdspg.test(id bigserial primary key, name text);
CREATE INDEX idx_test_name on rdspg.test(name);

场景2：使用 rdspg_readwrite/rdspg_readonly 账号进行业务开发

业务开发遵循最小权限原则，尽量使用rdspg_readonly账号，需要DML操作的地方才使用rdspg_readwrite账号。这样也方便在业务层做读写分离。

说明

业务层做读写分离，避免了自动读写分离中间件proxy带来的额外成本和性能损耗。
即使目前还没有使用只读实例，也建议区分 readonly客户端、readwrite客户端，为使用只读实例做准备。readonly客户端建议使用readonly账号，最小权限原则，规避权限误用。
- readonly客户端，使用readonly账号，设置JDBC URL：只读实例1地址,只读实例2地址,读写实例地址。
- readwrite客户端，使用readwrite账号，设置JDBC URL：读写实例地址。

使用rdspg_readwrite账号，对schema rdspg中的表进行DQL（SELECT）、DML（UPDATE、INSERT、DELETE）操作：

INSERT INTO rdspg.test (name) VALUES('name0'),('name1');
SELECT id,name FROM rdspg.test LIMIT 1;

--- rdspg_readwrite没有 DDL（CREATE、DROP、ALTER）权限
CREATE TABLE rdspg.test2(id int);
ERROR:  permission denied for schema rdspg
LINE 1: create table rdspg.test2(id int);

DROP TABLE rdspg.test;
ERROR:  must be owner of table test

ALTER TABLE rdspg.test ADD id2 int;
ERROR:  must be owner of table test

CREATE INDEX idx_test_name on rdspg.test(name);
ERROR:  must be owner of table test

使用rdspg_readonly账号，对schema rdspg中的表进行DQL（SELECT）操作：

INSERT INTO rdspg.test (name) VALUES('name0'),('name1');
ERROR:  permission denied for table test

SELECT id,name FROM rdspg.test LIMIT 1;
 id | name
----+-------
  1 | name0
(1 row)

场景3：不同项目交叉授权

如果有另外1个项目employee，需求为账号employee_readwrite增加rdspg项目的表只读权限。DBA使用dbsuperuser高权限账号做如下操作：

--- 给账号 employee_readwrite 加上 rdspg_role_readonly 权限集合。
GRANT rdspg_role_readonly TO employee_readwrite;

场景4：项目新增 schema rdspg_2，并授权给项目Role

rdspg_readwrite、rdspg_readonly、employee_readwrite账号自动继承了相关Role的权限变更，不需要再额外操作。DBA使用dbsuperuser 高权限账号做如下操作：

CREATE SCHEMA rdspg_1 AUTHORIZATION rdspg_owner;

--- 授权ROLE相关SCHEMA访问权限。
--- CREATE 使得 rdspg_role_admin 对schema rdspg_1中的表有 DDL（CREATE、DROP、ALTER）权限。
GRANT USAGE ON SCHEMA rdspg_1 TO rdspg_role_readwrite;
GRANT USAGE ON SCHEMA rdspg_1 TO rdspg_role_readonly;

账号权限查询

通过本文介绍的账号权限管理模型创建的账号，可以通过如下方式查询具体权限信息。

使用PostgreSQL客户端命令行终端连接RDS PostgreSQL数据库，具体请参见连接PostgreSQL实例。然后使用\du命令查看： $\du查看$
从上述查询结果示例中可以看出：employee_readwrite账号的Member of列中，内容为rdspg_role_readonly,employee_role_readwrite，因此，此账号对employee项目表具有DQL和DML权限，对rdspg项目表具有DQL权限。

使用SQL查询：

SELECT r.rolname, r.rolsuper, r.rolinherit,
  r.rolcreaterole, r.rolcreatedb, r.rolcanlogin,
  r.rolconnlimit, r.rolvaliduntil,
  ARRAY(SELECT b.rolname
        FROM pg_catalog.pg_auth_members m
        JOIN pg_catalog.pg_roles b ON (m.roleid = b.oid)
        WHERE m.member = r.oid) as memberof
, r.rolreplication
, r.rolbypassrls
FROM pg_catalog.pg_roles r
WHERE r.rolname !~ '^pg_'
ORDER BY 1;