REVOKE
删除访问特权。语法 REVOKE { { SELECT|INSERT|UPDATE|DELETE|REFERENCES }[,.]|ALL[PRIVILEGES]} ON tablename FROM { username|groupname|PUBLIC }[,.][CASCADE|RESTRICT]REVOKE { SELECT|ALL[PRIVILEGES]} ON sequencename FROM { ...
GRANT on Database Objects
GRANT命令的此变体向角色授予特定的数据库对象特权。这些特权会添加到已经授予的特权中(如果存在)。关键字 PUBLIC 表示将特权授予所有角色,包括将来可能创建的角色。PUBLIC 可以视为一个隐式定义的组,其中始终包含所有角色。所有特定...
REVOKE
注意任何特定角色拥有的特权包括直接授予给它的特权、从它作为其成员的角色中得到的特权以及授予给 PUBLIC 的特权。因此,从 PUBLIC 收回 SELECT 特权并不一定会意味着所有角色都会失去在该对象上的 SELECT 特权:那些直接被授予的或者通过...
EXECUTE 特权
本文介绍EXECUTE特权。SPL 程序(函数、存储过程或包)仅在满足以下任何条件时才开始执行:已向当前用户授予对 SPL 程序的 EXECUTE 特权。由于是对 SPL 程序具有 EXECUTE 特权的组的成员,当前用户继承此类特权。已向 PUBLIC 组授予 ...
ALTER ROLE
管理 Database Link 和 DBMS_RLS 特权。PolarDB PostgreSQL版(兼容Oracle)包含 ALTER ROLE 命令的额外语法(Oracle 未提供)。在分配与创建和删除与 Oracle 数据库兼容的 database link 以及细粒度访问控制(使用 DBMS_RLS)相关的特权时...
GRANT
简介 GRANT 命令有两种基本的变体:一种授予一个数据库对象(表、列、视图、外部表、序列、数据库、外部数据包装器、外部服务器、函数、过程、过程语言、模式或表空间)上的特权,另一个授予一个角色中的成员关系。这些变体在很多方面都...
ALTER DEFAULT PRIVILEGES
ALTER DEFAULT PRIVILEGES 允许你设置将被应用于未来要创建的对象的特权(它不会影响分配给已经存在的对象的特权)。简介 当前,只能修改用于模式、表(包括视图和外部表)、序列、函数和类型(包括域)的特权。其中,可设置权限的函数包括...
pg_init_privs
目录 pg_init_privs 记录系统中对象的初始特权。数据库中每一个具有非默认(非-NULL)初始特权集合的对象都有一个条目在其中。对象可以在系统初始化(initdb)时获得其初始特权,也可以在 CREATE EXTENSION 期间创建该对象并且在扩展脚本...
SET ROLE
注释 可以使用此命令添加特权或者限制某个用户的特权。如果会话用户角色具有 INHERITS 属性,则它将自动拥有可执行 SET ROLE 以设置为的每个角色的所有特权;在这种情况下,SET ROLE 有效地删除了直接分配给会话用户及其所属其他角色的所有...
SET ROLE
在这种情况下 SET ROLE 实际会删除所有直接分配给会话用户的特权以及分配给会话用户作为其成员的其他角色的特权,只留下所提及角色可用的特权。换句话说,如果会话用户没有 NOINHERIT 属性,SET ROLE 会删除直接分配给会话用户的特权而得到...
CREATE ROLE
那意味着即使一个角色没有特定的特权但被允许创建其他角色,它可以轻易地创建与自身特权不同的另一个角色(除了创建具有超级用户特权的角色)。例如,如果角色“user”具有 CREATEROLE 特权但是没有 CREATEDB 特权,但是它能够创建一个带有...
安全性
将这些表上的所有权和 TRIGGER 特权限制为超级用户信任的角色。此外,如果不受信任的用户可以创建表,则只使用显式列出表的发布。也就是说,只有当超级用户信任允许在发布者或订阅者上创建非临时表的所有用户时,才创建 FOR ALL TABLES 的...
应用场景
本文介绍特权访问管理中心的主要应用场景。资产统一运维管理 对云端资产及特权账号提供安全托管,通过跨区域统一运维管理视角,提升云端资产可视性,帮助管理员高效管理资源与凭据。特权访问行为管控 资产、凭据授权配置灵活,针对访问行为...
数据库对象特权
在SPL程序开始执行后,从程序中访问数据库对象的任何尝试都会导致检查以确保当前用户有权对引用的对象执行预期操作。分别使用GRANT和REVOKE命令来授予和删除数据库对象上的特权。如果当前用户尝试越权访问数据库对象,则程序将引发异常。
升级特权访问管理中心实例
当 特权访问管理中心 PAM(Privileged Access Management)实例的默认配置不能满足您的运维需求时,您可以升级PAM配置。本文介绍如何升级PAM实例。支持升配的项目 项目 说明 资产数 如果默认配置的资产量无法满足您的需求,您可以扩容该...
什么是特权访问管理中心
阿里云特权访问管理中心通过免密登录、自动识别和区分特权账号、RAM权限托管、RDP/SSH代理、安全审计和风控能力,提供有效的运维会话审计功能,实现事前和事中智能风控。应用场景 功能详情 资产登录凭据托管 支持登录凭据托管功能,实现...
基本概念
本章节介绍特权访问管理中心使用过程中遇到的常用名词及其简要描述。特权账号 特权账号通常指在企业云端资源使用过程中,由于云端系统运维、应用/数据开发、资源管理等原因创建的具有系统超级管理、敏感数据增删改查、用户权限调整等进阶...
lo-funcs
尽管如此,如果某些例行任务需要使用服务器端的 lo_import 或者 lo_export,使用具有这类特权的角色比使用具有完整超级用户特权的角色更加安全,因为那样会减小意外错误造成的损伤风险。函数 lo_read 和 lo_write 的功能也可以在服务器端...
运维K8s资产(公测中)
特权访问管理中心 PAM(Privileged Access Management)可针对阿里云容器服务ACK及其登录凭据(Kubeconfig)进行托管,并支持配置细粒度运维权限及运维策略,提供会话结束后的运维审计能力,提升云上运维操作的安全性。本文介绍如何运维K8s...
配置安全沙箱Pod内核参数
安全沙箱支持通过Annotation为Pod配置自定义内核参数,也支持开启特权容器模式后在Pod内通过Sysctl设置内核参数。本文主要介绍如何为安全沙箱Pod配置内核参数。前提条件 创建安全沙箱托管版集群。通过kubectl连接Kubernetes集群。背景信息 ...
购买实例
您需要根据业务需求购买相应规格的实例后,才能使用 特权访问管理中心(堡垒机开发者版、轻量版)。本文介绍如何购买 PAM 实例。操作步骤 访问 特权访问管理中心购买页面。在特权访问管理中心购买页面,选择 堡垒机(开发者版、轻量版),...
DROP USER
要删除超级用户以外的用户,您必须具有 CREATEROLE 特权。如果集群中的任何数据库仍在引用一个用户,则不能将其删除;如果删除,则会引发错误。在删除用户之前,必须删除其拥有的所有对象(或重新分配它们的所有权)并取消之前向用户授予的...
CREATE EXTENSION
通常,加载扩展需要与创建扩展组件对象所需的特权相同的特权。对于许多扩展,这意味着需要超级用户特权。但是,如果扩展名在其控制文件中标记为 trusted,则该扩展名可以由对当前数据库具有 CREATE 特权的任何用户安装。在这种情况下,扩展...
系统信息函数和运算符
(特权字符串的大小写不重要,特权名之间允许有额外的空格,但在特权名中不允许)。SELECT has_table_privilege('myschema.mytable','select');SELECT has_table_privilege('joe','mytable','INSERT,SELECT WITH GRANT OPTION');访问权限...
ALTER TYPE
但是,从 plain 更改为另一个设置需要超级用户特权(因为它要求该类型的 C 函数全部是 TOAST-ready),而从另一个设置更改为 plain 则不是完全允许(因为类型可能已经在数据库中包含 TOASTed 值)。请注意,更改此选项本身并不会更改任何...
ALTER SCHEMA
要更改拥有者,你还必须是新拥有角色的一个直接或者间接成员,并且该角色必须具有该数据库上的 CREATE 特权(注意超级用户自动拥有所有这些特权)。语法 ALTER SCHEMA name RENAME TO new_name ALTER SCHEMA name OWNER TO { new_owner|...
ALTER PROCEDURE
options[EXTERNAL]SECURITY DEFINER 指定 SECURITY DEFINER 以指示服务器使用创建了存储过程的用户的特权执行该存储过程。为了实现兼容性而支持 EXTERNAL 关键字,但被忽略。[EXTERNAL]SECURITY INVOKER 指定 SECURITY INVOKER 以指示...
文件传输
通过 特权访问管理中心PAM(Privileged Access Management)文件传输功能,您可以方便快捷地将本地文件上传至目标资产或者将目标资产文件下载至本地,满足您在管理和维护服务器时的文件传输需求,提高工作效率和安全性。本文介绍如何使用...
【通知】特权访问管理中心(PAM)商业化通知
运维安全中心-特权访问管理中心PAM(Privileged Access Management)服务将于2023年7月31日24:00正式商业化,公测将于该时间点到期,届时您的免费版将按默认规格提供服务。更多信息,请参见 PAM商业化通知。阿里云在此提醒您,请提前做好...
ALTER DATABASE
要修改拥有者,你必须拥有该数据库并且也是新拥有角色的一个直接或间接成员,并且你必须具有 CREATEDB 特权(注意超级用户自动拥有所有这些特权)。第四种形式更改数据库的默认表空间。只有数据库拥有者或超级用户能够这样做,你还必须对新...
Pod安全
在 容器服务 Kubernetes 版 中,您可以通过限制容器以特权模式运行、限制应用程序进程以root身份运行以及禁用Service Account令牌自动挂载等方式,防止容器中运行的进程逃离容器的隔离边界并获得对宿主机的访问权限。通过正确配置Pod安全...
公测协议
特权访问服务公测协议
GRANT
定义访问特权。语法 GRANT { { SELECT|INSERT|UPDATE|DELETE|REFERENCES }[,.]|ALL[PRIVILEGES]} ON tablename TO { username|groupname|PUBLIC }[,.][WITH GRANT OPTION]GRANT { { INSERT|UPDATE|REFERENCES }(column[,.])}[,.]ON ...
快速入门
本文指导您快速上手特权访问管理中心(PAM)的主要功能。背景信息 资产运维页面支持卡片式和列表式两种布局形式。本文基于列表式布局介绍资产运维的相关操作。(可选)步骤一:准备阿里云账号 如果您已完成了阿里云账号的注册和实人认证,...
用户授权
新建用户 登录 特权访问管理中心控制台。在左侧导航栏,单击 用户授权。在 用户 页签,单击 新建用户。在 新建用户 面板,配置用户信息,单击 创建。以下表格仅用于说明部分配置选项。配置项 说明 用户名 命名规则:不能以特殊字符开始。可...
REASSIGN OWNED
本文介绍了REASSIGN OWNED的语法、参数等内容。...REASSIGN OWNED 命令不会影响授予给 old_roles 的在它们不拥有的对象上的任何特权。同样,它不会影响 ALTER DEFAULT PRIVILEGES 创建的默认特权。DROP OWNED 可以回收那些特权。
DROP OWNED
任何已被授予给给定角色在当前数据库中对象上或者在共享对象(数据库、表空间)上的特权也将会被收回。语法 DROP OWNED BY { name|CURRENT_USER|SESSION_USER }[,.][CASCADE|RESTRICT]参数 name 其对象将被删除并且其特权将被收回的角色的...
续费实例
特权访问管理中心 PAM(Privileged Access Management)实例到期后会影响PAM实例正常运行。如果您想继续使用PAM实例,需要在指定时间内为PAM实例续费,否则PAM实例会自动释放,数据全部丢失。本文介绍如何为PAM实例续费。续费简介 状态 ...
通过PAM凭据认证登录实例
Workbench已接入 特权访问管理中心 PAM(Privileged Access Management),将实例的用户名、密码、密钥托管至PAM后,无需每次输入这些信息即可安全登录实例,且登录Linux实例和Windows实例的操作一致,更加方便快捷。前提条件 ECS实例处于 ...
系统设置
本文介绍 特权访问管理中心(堡垒机开发者版、轻量版)的基础设置、认证设置以及存储设置。释放PAM实例 若 PAM 实例已到期且后期不再使用,您可以手动释放实例;若实例未到期,则不能释放。PAM 实例到期说明,请参见 到期说明。警告 实例...
- 产品推荐
- 这些文档可能帮助您