Role and, Access Privilege Inquiry Functions

1. 10th PostgreSQL Unconference10th PostgreSQL Unconference
(2019-02-02)(2019-02-02)
Access Privilege InquiryAccess Privilege Inquiry
FunctionsFunctions
(( アクセス権限照会関数アクセス権限照会関数 ))
ぬこ＠横浜ぬこ＠横浜 (@nuko_yokohama)(@nuko_yokohama)

2. 2
自己紹介
「 PostgreSQL ラーメン」
でググってください

3. 3
今日は少しだけ
役立つかもしれない
話をします

4. 4
この本には書いてない
テーマです。
（書こうとしたけど、
紙面の都合で割愛）

5. 5
アンケート 1
PostgreSQL ロールを
ちゃんと使ってますか？

6. 6
アンケート 2
細かい権限制御って
やってますか？

7. 7
実は私も普段は
使ってませんｗ
postgres ユーザで
作業してることが多い

8. 8
とはいえ
たまにお仕事で
ロールや権限のことを
聞かれることもある。

9. 9
ロールって？

10. 10
これはロース

11. 11
ロール (ROLE) は名前のとおり、
データベースシステムにおける役割を示す概念
従来はグループとユーザという概念に分かれていたが
PostgreSQL 8.1 から「ロール」に統合された。
ユーザ＝ログインできるロール

12. 12
デフォルト
ロール

13. 13
権限分掌の考えから
PostgreSQL 9.6 から
追加されたしくみ

14. 14
PostgreSQL の操作の中
には、特権 (postgres)
ユーザでないとできない
ものがある。

15. 15
postgres ユーザ
なんでもできちゃう問題

16. 16
なので、特定の操作を
可能とし、かつ特権を
もたないロールが
作成された。

17. 17
デフォルトロール名 バージョン 内容
pg_read_all_settings 10 ～ 全てのサーバ設定情報を読み取り可能なロール
pg_read_all_stats 10 ～ 全ての活動統計情報を読み取り可能なロール
pg_stat_scan_tables 10 ～ 強いロックをかけ、かつテーブルをフルスキャ
ンする操作を許容するロール。（例：
pgstatuple など )
pg_signal_backend 9.6 ～ バックエンドプロセスにシグナルを送信可能な
ロール。
pg_read_server_files 11 ～ サーバ側のファイルを読み取り可能なロール
pg_write_server_files 11 ～ サーバ側のファイルへ書き込み可能なロール
pg_execute_server_program 11 ～ サーバ側でプログラムの実行が可能なロール。
pg_monitor 10 ～ pg_read_all_settings, pg_read_all_stats,
pg_stat_scan_tables を合わせたロール。

18. 18
GRANT による
ロールの継承

19. 19
GRANT 文を使って、
あるロール X の機能を、
別のロール Y に
含めることができる。
GRANT ロール X TO ロール Y

20. 20
町田で例えると
テーブル T
テーブル K
tokyo ロール
kanagawa ロール
machida ロール
GRANT
GRANT
アクセス可能
アクセス可能
アクセス可能
アクセス可能
早く machida ロールから
tokyo ロールを
REVOKE せねば・・・

21. 21
GRANT によるロール継承の
設定を確認するには？

22. 22
ロールとロール間の関係例
-- ロールの作成
CREATE ROLE dbowner CREATEDB LOGIN;
CREATE ROLE user_a LOGIN;
CREATE ROLE user_a_w LOGIN;
CREATE ROLE user_a_t LOGIN;
CREATE ROLE user_b LOGIN;
CREATE ROLE user_b_w LOGIN;
CREATE ROLE user_c LOGIN;
CREATE ROLE monitor LOGIN;
-- ロール間の関係
GRANT user_a TO user_a_w;
GRANT user_b TO user_b_w;
GRANT user_a TO user_c;
GRANT user_b TO user_c;
GRANT pg_monitor TO monitor;

23. 23
GRANT によるロール継承の
設定を確認するには？
WITH RECURSIVE t AS (
SELECT oid as roleid, 0 as level, oid::text as sortkey
FROM pg_roles
WHERE rolname IN (SELECT rolname FROM pg_roles)
UNION ALL
SELECT member as roleid, t.level + 1 , ((sortkey || '.' || pam.member)::text) AS sortkey
FROM pg_auth_members pam JOIN t ON (pam.roleid= t.roleid)
) SELECT (repeat(' ', level) || pr.rolname) as rolename
FROM t JOIN pg_roles pr ON (t.roleid = pr.oid)
ORDER BY sortkey ;
$ psql -U postgres postgres -f roles.sql
rolename
---------------------------
postgres
monitor_user
dbowner
user_a
user_a_w
user_c
user_a_w
user_b
user_b_w
user_c

24. 24
GRANT による
権限設定

25. 25
PostgreSQL の場合、 GRANT 対象となる
オブジェクトの種類は非常に多い。
テーブル、列、シーケンス
データベース
ドメイン
Forein Data Wrapper
Foreign Server
関数
言語
ラージオブジェクト
スキーマ
テーブルスペース
型

26. 26
pg_class 等で
権限設定が
わからない問題

27. 27
細かく GRANT/REVOKE で
DB オブジェクトに対する
権限を設定
↓
設定を確認したくなる

28. 28
例えば、テーブルに対する
アクセス権限は
pg_class にあるのだが、
実はこれだけ見ても
権限設定の全体はわからない。

29. 29
ロールと DB オブジェクト
-- ロールの作成
CREATE ROLE dbowner CREATEDB LOGIN;
CREATE ROLE user_a LOGIN;
CREATE ROLE user_a_w LOGIN;
CREATE ROLE user_a_t LOGIN;
CREATE ROLE user_b LOGIN;
CREATE ROLE user_b_w LOGIN;
CREATE ROLE user_c LOGIN;
CREATE ROLE monitor LOGIN;
-- ロール間の関係
GRANT user_a TO user_a_w;
GRANT user_b TO user_b_w;
GRANT user_a TO user_c;
GRANT user_b TO user_c;
GRANT pg_monitor TO monitor;
-- テーブル作成
CREATE TABLE table_a (id int, data text);
CREATE TABLE table_b (id int, data text);
-- GRANT TABLES
GRANT SELECT ON table_a TO user_a;
GRANT INSERT, UPDATE, DELETE ON table_a TO user_a_w;
REVOKE SELECT ON table_a FROM user_a_t;
GRANT TRUNCATE ON table_a TO user_a_t;
GRANT SELECT ON table_b TO user_b;
GRANT INSERT, UPDATE, DELETE ON table_a TO user_a_w;

30. 30
pg_class だけでは権限は不明
priv=# SELECT relname, relacl FROM pg_class WHERE relname IN ('table_a', 'table_b');
relname | relacl
---------+-----------------------------------------------------------------------------------------
table_a | {postgres=arwdDxt/postgres,user_a=r/postgres,user_a_w=awd/postgres,user_a_t=D/postgres}
table_b | {postgres=arwdDxt/postgres,user_b=r/postgres}
(2 rows)
user_c （ user_a, user_b を継承）
のように継承されたロールが、
明示的に GRANT 等を発行しないと
→ pg_class の relacl には書かれない！

31. 31
Access Privilege Inquiry
Functions

32. 32
ロールと DB オブジェクト
-- ロールの作成
CREATE ROLE dbowner CREATEDB LOGIN;
CREATE ROLE user_a LOGIN;
CREATE ROLE user_a_w LOGIN;
CREATE ROLE user_a_t LOGIN;
CREATE ROLE user_b LOGIN;
CREATE ROLE user_b_w LOGIN;
CREATE ROLE user_c LOGIN;
CREATE ROLE monitor LOGIN;
-- ロール間の関係
GRANT user_a TO user_a_w;
GRANT user_b TO user_b_w;
GRANT user_a TO user_c;
GRANT user_b TO user_c;
GRANT pg_monitor TO monitor;
-- テーブル作成
CREATE TABLE table_a (id int, data text);
CREATE TABLE table_b (id int, data text);
-- GRANT TABLES
GRANT SELECT ON table_a TO user_a;
GRANT INSERT, UPDATE, DELETE ON table_a TO user_a_w;
REVOKE SELECT ON table_a FROM user_a_t;
GRANT TRUNCATE ON table_a TO user_a_t;
GRANT SELECT ON table_b TO user_b;
GRANT INSERT, UPDATE, DELETE ON table_a TO user_a_w;

33. 33
アクセス権限照会関数の例
o /dev/null
SELECT rolname, relname, crud
FROM (SELECT r.oid, r.rolname, c.relname,
((CASE WHEN has_table_privilege(r.oid, c.oid, 'INSERT') THEN 'C' ELSE ' ' END) ||
(CASE WHEN has_table_privilege(r.oid, c.oid, 'SELECT') THEN 'R' ELSE ' ' END) ||
(CASE WHEN has_table_privilege(r.oid, c.oid, 'UPDATE') THEN 'U' ELSE ' ' END) ||
(CASE WHEN has_table_privilege(r.oid, c.oid, 'DELETE') THEN 'D' ELSE ' ' END) ||
(CASE WHEN has_table_privilege(r.oid, c.oid, 'TRUNCATE') THEN 'T' ELSE ' ' END)) AS crud
FROM pg_roles r, pg_class c
WHERE c.relkind = 'r'
AND r.rolcanlogin = true
AND relnamespace IN
(SELECT oid
FROM pg_namespace
WHERE nspname NOT IN ('pg_catalog','information_schema','pg_toast'))
) t
ORDER BY rolname, relname;
o
crosstabview rolname relname
$ psql priv -U postgres -f priv.sql
rolname | table_a | table_b
----------+---------+---------
monitor | |
postgres | CRUDT | CRUDT
user_a | R |
user_a_t | T |
user_a_w | CRUD |
user_b | | R
user_b_w | | R
user_c | R | R
(9 rows)

34. 34
PostgreSQL の
権限管理は、
きちんと調べると
なかなか面白い

35. 35
おしまい