Gewähren Sie SELECT für alle Tabellen in Redshift

Ich versuche, SELECTeiner Gruppe in Redshift Berechtigungen zuzuweisen . Also habe ich eine Gruppe und einen Benutzer in dieser Gruppe erstellt:

CREATE GROUP data_viewers;
CREATE USER <user> PASSWORD '<password>' IN GROUP data_viewers;

Jetzt möchte ich dieser Gruppe erlauben, Daten aus jeder Tabelle lesen zu können:

GRANT SELECT ON ALL TABLES IN SCHEMA PUBLIC TO GROUP data_viewers;

Der Befehl kehrt zurück GRANT. Wenn ich mich jetzt als neu erstellter Benutzer mit Redshift verbinde und ein Problem SELECT * FROM something.something;erhalte , wird Folgendes angezeigt :

Erlaubnis für Schema etwas verweigert

Ich habe versucht, Berechtigungen für etwas zu erteilen. GRANT SELECT ON ALL TABLES IN SCHEMA something TO GROUP data_viewers;Dies hat jedoch nichts geändert.

Wie kann ich Benutzern aus meiner Gruppe erlauben, SELECTDaten aus einer beliebigen Tabelle im Schema abzurufen?

Sie benötigen USAGE(zumindest) das Privileg für das Schema :

GRANT USAGE ON SCHEMA something TO GROUP data_viewers;

Verwandte Postgres Beispiel:

• Berechtigung zur Sequenzierung in einem anderen Schema

Denken Sie daran, dass Sie nur Berechtigungen für bereits vorhandene Tabellen erteilt haben. Gilt nicht für später erstellte Tabellen. Um auch diese abzudecken:

ALTER DEFAULT PRIVILEGES FOR USER role_that_creates_tables
IN SCHEMA public
GRANT SELECT ON TABLES TO GROUP data_viewers;

Amazon Redshift wurde ebenfalls implementiert DEFAULT PRIVILEGES.

Hier ist ein komplettes Kochbuch für Postgres:

• Wie verwalte ich STANDARDPRIVILEGIEN für BENUTZER in einer DATENBANK gegen SCHEMA?

Beachten Sie einige Unterschiede zwischen Postgres und Redshift! Redshift bleibt bei der Trennung von Benutzern und Gruppen , während Postgres dies durch das universelle Konzept der Rollen ersetzt :

• Warum hat PostgreSQL Benutzer und Gruppen zu Rollen zusammengeführt?

Und ich bin mir nicht sicher, wie Redshift mit Sequenzen umgeht ...

Ich hatte das gleiche Bedürfnis nach einem schreibgeschützten Redshift-Benutzer. Nachdem die Dokumentation zu lesen, ich kam mit bis eine Reihe von Anfragen:

-- Create Read-Only Group     
CREATE GROUP ro_group;

-- Create User
CREATE USER ro_user WITH password PASSWORD;

-- Add User to Read-Only Group
ALTER GROUP ro_group ADD USER ro_user;

-- Grant Usage permission to Read-Only Group to specific Schema
GRANT USAGE ON SCHEMA "ro_schema" TO GROUP ro_group;

-- Grant Select permission to Read-Only Group to specific Schema
GRANT SELECT ON ALL TABLES IN SCHEMA "ro_schema" TO GROUP ro_group;

-- Alter Default Privileges to maintain the permissions on new tables
ALTER DEFAULT PRIVILEGES IN SCHEMA "ro_schema" GRANT SELECT ON TABLES TO GROUP ro_group;

-- Revoke CREATE privileges from group
REVOKE CREATE ON SCHEMA "ro_schema" FROM GROUP ro_group;

Wenn Sie den Benutzer später tatsächlich entfernen möchten, müssen Sie so ziemlich rückwärts gehen.