控制使用者對 PostgreSQL 資料庫的存取 - Amazon Relational Database Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

控制使用者對 PostgreSQL 資料庫的存取

PostgreSQL 中的新資料庫會永遠使用資料庫 public 結構描述中的一組預設權限建立,允許所有資料庫使用者和角色建立物件。例如,這些權限可讓資料庫使用者連接至資料庫,並在連線時建立暫存資料表。

為了對您在 RDS for PostgreSQL 資料庫執行個體上建立之資料庫執行個體的使用者存取進行更好地控制,我們建議您撤消這些預設的 public 權限。完成此作業後,您可更精細地為資料庫使用者授予特定權限,如下列程序所示。

如要設定新資料庫執行個體的角色和權限

假設您正在一個剛建立的 RDS for PostgreSQL 資料庫執行個體上設定資料庫,以供多位研究人員使用,其皆需要資料庫的讀寫存取權。

  1. 使用 psql (或 pgAdmin) 連接至 您的 RDS for PostgreSQL 資料庫執行個體:

    psql --host=your-db-instance.666666666666.aws-region.rds.amazonaws.com --port=5432 --username=postgres --password

    出現提示時,輸入您的密碼。psql 用戶端連接並顯示預設管理連接資料庫 postgres=> 作為提示。

  2. 如要防止資料庫使用者在 public 結構描述中建立物件,請執行下列動作:

    postgres=> REVOKE CREATE ON SCHEMA public FROM PUBLIC;
REVOKE

  3. 接下來,您會建立新的資料庫執行個體:

    postgres=> CREATE DATABASE lab_db;
CREATE DATABASE

  4. 從此新資料庫上 PUBLIC 結構描述撤消所有權限。

    postgres=> REVOKE ALL ON DATABASE lab_db FROM public;
REVOKE

  5. 建立一個資料庫使用者的角色。

    postgres=> CREATE ROLE lab_tech;
CREATE ROLE

  6. 使具有此角色的資料庫使用者可連接至資料庫。

    postgres=> GRANT CONNECT ON DATABASE lab_db TO lab_tech;
GRANT

  7. 授予具 lab_tech 角色的所有使用者此資料庫的所有權限。

    postgres=> GRANT ALL PRIVILEGES ON DATABASE lab_db TO lab_tech;
GRANT

  8. 建立資料庫使用者,如下所示:

    postgres=> CREATE ROLE lab_user1 LOGIN PASSWORD 'change_me';
CREATE ROLE
postgres=> CREATE ROLE lab_user2 LOGIN PASSWORD 'change_me';
CREATE ROLE

  9. 授予這兩個使用者與 lab_tech 角色關聯的權限:

    postgres=> GRANT lab_tech TO lab_user1;
GRANT ROLE
postgres=> GRANT lab_tech TO lab_user2;
GRANT ROLE

至此,lab_user1lab_user2 便可連接 lab_db 資料庫。此範例並未遵循企業使用的最佳實務,其中可能包括建立多個資料庫執行個體、不同的結構描述,及授予有限的權限。如需更多完整資訊和其他方案,請參閱管理 PostgreSQL 使用者和角色

如需有關 PostgreSQL 資料庫中權限的詳細資訊,請參閱 PostgreSQL 文件中的 GRANT 命令。