| Documentation PostgreSQL 7.4.29 | ||||
|---|---|---|---|---|
| Précédent | Arrière rapide | Avance rapide | Suivant | |
GRANT { { SELECT | INSERT | UPDATE | DELETE | RULE | REFERENCES | TRIGGER }
[,...] | ALL [ PRIVILEGES ] }
ON [ TABLE ] nomtable [, ...]
TO { nomutilisateur | GROUP
nomgroupe | PUBLIC } [, ...] [ WITH
GRANT OPTION ]
GRANT { { CREATE | TEMPORARY | TEMP } [,...] | ALL [ PRIVILEGES ] }
ON DATABASE nombase [, ...]
TO { nomutilisateur | GROUP
nomgroupe | PUBLIC } [, ...] [ WITH
GRANT OPTION ]
GRANT { EXECUTE | ALL [ PRIVILEGES ] }
ON FUNCTION nomfonction
([type, ...]) [, ...]
TO { nomutilisateur | GROUP
nomgroupe | PUBLIC } [, ...] [ WITH
GRANT OPTION ]
GRANT { USAGE | ALL [ PRIVILEGES ] }
ON LANGUAGE nomlangage [, ...]
TO { nomutilisateur | GROUP
nomgroupe | PUBLIC } [, ...] [ WITH
GRANT OPTION ]
GRANT { { CREATE | USAGE } [,...] | ALL [ PRIVILEGES ] }
ON SCHEMA nomschéma [, ...]
TO { nomutilisateur | GROUP
nomgroupe | PUBLIC } [, ...] [ WITH
GRANT OPTION ]La commande GRANT donne des droits spécifiques sur un objet (table, vue, séquence, base de données, fonction, langage de procédure ou schéma) à un ou plusieurs utilisateurs ou groupes d'utilisateurs. Ces droits sont ajoutés à ceux déjà obtenus.
Le mot clé PUBLIC indique que les droits sont donnés à tous les utilisateurs, y compris ceux qui seront créés après. PUBLIC pourrait être vu comme un groupe implicitement défini qui inclut en permanence tous les utilisateurs. Un utilisateur particulier aura la somme des droits qui lui sont acquis, des droits de tout groupe dont il est membre et des droits donnés à PUBLIC.
Si WITH GRANT OPTION est spécifié, celui qui reçoit ce droit pourra le donner à d'autres. Par défaut, ceci n'est pas autorisé. Les options de droits peuvent seulement être données à des utilisateurs individuels, pas à des groupes ou à PUBLIC.
Il n'y a pas besoin d'accorder des droits au propriétaire d'un objet (habituellement l'utilisateur qui l'a créé) car le propriétaire a tous les droits par défaut. (Le propriétaire pourrait, néanmoins, choisir de révoquer certains de ces propres droits.) Le droit de supprimer un objet ou de modifier sa définition d'une certaine façon n'est pas décrit par un droit donnable ; il est inhérent au propriétaire et ne peut être ni accepté ni refusé. Il n'est pas non plus possible de supprimer les options de droits du propriétaire.
Suivant le type de l'objet, les droits initiaux par défaut pourraient inclure le don de certains droits à PUBLIC. La valeur par défaut est aucun accès public aux tables et schémas ; droit de création de table TEMP pour les bases de données ; droit EXECUTE pour les fonctions ; et droit USAGE pour les langages. Le propriétaire de l'objet pourrait bien sûr choisir de révoquer ces droits. (Pour un maximum de sécurité, lancez REVOKE dans la même transaction que la création de l'objet ; il n'y aura pas de temps pendant lequel un autre utilisateur pourrait utiliser l'objet.)
Les droits possibles sont :
Autorise SELECT parmi
toutes les colonnes de la table, vue ou séquence spécifiée. Autorise
aussi l'utilisation de COPY
TO.
Ce droit est aussi nécessaire pour référencer des valeurs de colonnes
existantes avec UPDATE
ou DELETE.
Pour les séquences, ce droit permet aussi l'utilisation de la
fonction currval.
Autorise INSERT d'une nouvelle ligne dans la table spécifiée. Autorise aussi COPY FROM.
Autorise UPDATE de toute
colonne de la table spécifiée. (En fait, toute commande
UPDATE non triviale nécessite aussi le droit
SELECT car elle doit référencer les colonnes pour
déterminer les lignes à mettre à jour et/ou calculer les nouvelles
valeurs des colonnes.) SELECT ... FOR UPDATE
requiert aussi ce droit en plus du droit SELECT.
Pour les séquences, ce droit autorise l'utilisation des fonctions
nextval et setval.
Autorise DELETE d'une ligne pour la table spécifiée. (En fait, toute commande DELETE non triviale nécessite aussi le droit SELECT car elle doit référencer les colonnes pour déterminer les lignes à supprimer.)
Autorise la création d'une règle sur la table/vue. (Voir l'instruction CREATE RULE.)
Pour créer une contrainte de clé étrangère, il est nécessaire d'avoir ce droit sur la table de référence et celle référencée.
Autorise la création d'un déclencheur sur la table spécifiée. (Voir l'instruction CREATE TRIGGER.)
Pour les bases de données, autorise la création de nouveaux schémas à l'intérieur de la base de données.
Pour les schémas, autorise la création de nouveaux objets dans le schéma. Pour renommer un objet existant, vous devez être le propriétaire de l'objet et avoir ce droit pour le schéma qui le contient.
Autorise la création de tables temporaires lors de l'utilisation de la base de données spécifiée.
Autorise l'utilisation de la fonction spécifiée et l'utilisation de tout opérateur qui est implémenté avec cette fonction. C'est le seul type de droit qui est applicable aux fonctions. (Cette syntaxe fonctionne aussi pour les fonctions d'agrégat.)
Pour les langages de procédures, autorise l'utilisation du langage spécifié pour la création de fonctions dans ce langage. Ceci est le seul type de droit applicable aux langages de procédures.
Pour les schémas, autorise l'accès aux objets contenus dans le schéma spécifié (en supposant que les besoins de droits des objets propres sont aussi respectés). Essentiellement, ceci permet à celui ayant reçu le droit de << rechercher >> les objets contenus dans ce schéma.
Donne tous les droits applicables à cet objet en une fois. Le mot clé PRIVILEGES est optionnel dans PostgreSQL bien qu'il soit requis par le SQL strict.
Les droits requis par d'autres commandes sont listés sur la page référencée de la commande respective.
La commande REVOKE est utilisée pour révoquer les droits d'accès.
Il devrait être noté que les superutilisateurs de la base de données peuvent accéder à tous les objets sans paramétrage de droits sur les objets. Ceci est comparable aux droits de root sur un système Unix. Comme avec root, il est déconseillé d'opérer en tant que superutilisateur sauf lorsque cela est absolument nécessaire.
Si un superutilisateur choisit de lancer une commande GRANT ou REVOKE, la commande est exécutée comme si elle avait été lancée par le propriétaire de l'objet affecté. En particulier, les droits donnés via une telle commande sembleront avoir été donnés par le propriétaire de l'objet.
Actuellement, pour donner des droits sur quelques colonnes avec PostgreSQL, vous devez créer une vue ayant les colonnes désirées et donner les droits sur cette vue.
Utilisez la commande \z de psql pour obtenir des informations sur les droits existants, par exemple :
=> \z mytable
Access privileges for database "lusitania"
Schema | Table | Access privileges
--------+---------+---------------------------------------
public | mytable | {=r/postgres,miriam=arwdRxt/postgres,"group
todos=arw/postgres"}
(1 row)Les entrées affichées par \z sont interprétées ainsi :
=xxxx -- droits donnés à PUBLIC
uname=xxxx -- droits donnés à un utilisateur
group gname=xxxx -- droits donnés à un groupe
r -- SELECT ("lecture")
w -- UPDATE ("écriture")
a -- INSERT ("ajout")
d -- DELETE
R -- RULE
x -- REFERENCES
t -- TRIGGER
X -- EXECUTE
U -- USAGE
C -- CREATE
T -- TEMPORARY
arwdRxt -- ALL PRIVILEGES (pour les tables)
* -- option de droit pour le droit précédant
/yyyy -- utilisateur qui a donné ce droitL'affichage de l'exemple ci-dessus pourrait être vue par l'utilisatrice miriam après la création de la table matable et le lancement de
GRANT SELECT ON matable TO PUBLIC; GRANT SELECT, UPDATE, INSERT ON matable TO GROUP todos;
Si la colonne << Access privileges >> est vide pour un objet donné, cela signifie que l'objet n'a pas de droits par défaut (c'est-à-dire que la colonne des droits est NULL). Les droits par défaut incluent toujours les droits pour le propriétaire et pourraient inclure quelques droits pour PUBLIC suivant le type d'objet comme expliqué ci-dessus. Le premier GRANT ou REVOKE sur un objet instantiera les droits par défaut (produisant, par exemple, {=,miriam=arwdRxt}) puis les modifiant par la requête spécifiée.
Donne le droit d'insertion à tous les utilisateurs sur la table films :
GRANT INSERT ON films TO PUBLIC;
Donne tous les droits à l'utilisateur manuel pour la vue genres :
GRANT ALL PRIVILEGES ON genres TO manuel;
Suivant le standard SQL, le mot clé PRIVILEGES dans ALL PRIVILEGES est requis. Le standard SQL ne supporte pas l'initialisation des objets avec plus d'un objet par commande.
Le standard SQL autorise l'initialisation de droits pour des colonnes spécifiques à l'intérieur d'une table :
GRANT droits
ON table [ ( colonne [, ...] ) ] [, ...]
TO { PUBLIC | nomutilisateur [,
...] } [ WITH GRANT OPTION ]
Le standard SQL fournit un droit USAGE sur d'autres types d'objets : ensembles de caractères, collations, traductions, domaines.
Le droit RULE et les droits sur les bases de données, langages, schémas et séquences sont des extensions PostgreSQL.
| Précédent | Sommaire | Suivant |
| FETCH | Niveau supérieur | INSERT |