权限管理
KaiwuDB 支持管理用户权限,确保关键、重要功能、数据的安全性。
授予权限
GRANT <privileges> 语句用于为用户授予指定对象的操作权限。每条语句支持为多个用户授予多个权限。
说明
如果用户权限未能及时更新,可以删除该用户后再创建非同名用户,重新授予权限。
所需权限
- 非三权分立模式下,授予权限的用户在目标数据库、表或模式(只适用于关系数据自定义模式)上具备被授予的权限。例如,向其他用户授予目标表的
SELECT权限的用户必须具备目标表的GRANT和SELECT权限。 - 三权分立模式下,
- 用户是
sysadmin角色的成员。默认情况下,sysroot用户属于sysadmin角色。 - 授予权限的普通用户在目标数据库、表或模式(只适用于关系数据自定义模式)上具备被授予的权限。例如,向其他用户授予目标表的
SELECT权限的普通用户必须具备目标表的GRANT和SELECT权限。
- 用户是
语法格式
参数说明
| 参数 | 说明 |
|---|---|
table_name | 表名,支持同时授予多张表的权限。表名之间使用逗号(,)隔开。 |
database_name | 数据库名,支持同时一次授予多个数据库的权限。数据库名之间使用逗号(,)隔开。 |
schema_name | 模式名。支持同时授予多个用户自定义模式的权限。模式名称之间使用逗号(,)隔开。说明 该参数只适用于关系数据。 |
user_name | 授予权限的用户或角色名称,支持同时向多个用户或角色授予权限。用户或角色名称之间使用逗号(,)隔开。 |
语法示例
以下示例授予 operatora 用户 db1 和 defaultdb 数据库的创建权限。
GRANT CREATE ON DATABASE db1, defaultdb TO operatora;
撤销权限
REVOKE <privileges> 语句用于撤销用户指定对象的权限。每条语句支持撤销多个用户的多个权限。
所需权限
- 非三权分立模式下,撤销其他用户的权限的用户具备目标数据库、表或模式(只适用于关系数据自定义模式)的
GRANT权限和被撤销的权限。例如,撤销其他用户目标表的SELECT权限的用户必须具备目标表的GRANT和SELECT权限。 - 三权分立模式下,
- 用户是
sysadmin角色的成员。默认情况下,sysroot用户属于sysadmin角色。 - 撤销权限的普通用户在目标数据库、表或模式(只适用于关系数据自定义模式)上具备
GRANT权限和被撤销的权限。例如,撤销其他用户目标表的SELECT权限的用户必须具备目标表的GRANT和SELECT权限。
- 用户是
语法格式
参数说明
| 参数 | 说明 |
|---|---|
table_name | 表名,支持同时撤销多张表的权限。表名之间使用逗号(,)隔开。,权限名称。 |
database_name | 数据库名,支持同时撤销多个数据库的权限。数据库名之间使用逗号(,)隔开。 |
schema_name | 模式名。支持同时撤销多个用户自定义模式的权限。模式名称之间使用逗号(,)隔开。说明 该参数只适用于关系数据。 |
user_name | 撤销权限的用户或角色名称,支持同时撤销多个用户或角色的权限。用户或角色名称之间使用逗号(,)隔开。 |
语法示例
以下示例撤销 user11 用户 db1 和 defaultdb 数据库的创建权限。
REVOKE CREATE ON DATABASE db1, defaultdb FROM user11;
查看权限
SHOW GRANTS 语句用于查看用户在指定对象中的权限。
所需权限
无。如需使用 SHOW GRANTS ON ROLE SQL 命令,用户必须具备系统表的 SELECT 权限。
语法格式
参数说明
| 参数 | 说明 |
|---|---|
table_name | 表名,支持同时查看多张表的权限。表名之间使用逗号(,)隔开。,权限名称。 |
database_name | 数据库名,支持同时查看多个数据库的权限。数据库名之间使用逗号(,)隔开。 |
schema_name | 模式名。支持同时查看多个用户自定义模式的权限。模式名称之间使用逗号(,)隔开。说明 该参数只适用于关系数据。 |
user_name | 待查看权限的用户或角色名称,支持同时查看多个用户或角色的权限。用户或角色名称之间使用逗号(,)隔开。 |
语法示例
以下示例查看 defaultdb 数据库中 t1 表的用户权限的分配情况。
SHOW GRANTS ON TABLE defaultdb.t1;
执行成功后,命令行输出以下信息:
database_name|schema_name|table_name|grantee|privilege_type
-------------+-----------+----------+-------+--------------
defaultdb |public |t1 |admin |ALL
defaultdb |public |t1 |root |ALL
defaultdb |public |t1 |user11 |DELETE
(3 rows)