他のバージョンの文書9.6 | 9.5 | 9.4 | 9.3 | 9.2 | 9.1 | 9.0 | 8.4 | 8.3 | 8.2 | 8.1 | 8.0 | 7.4 | 7.3 | 7.2

ALTER DEFAULT PRIVILEGES

名前

ALTER DEFAULT PRIVILEGES -- デフォルトのアクセス権限を定義する

概要

ALTER DEFAULT PRIVILEGES
    [ FOR { ROLE | USER } target_role [, ...] ]
    [ IN SCHEMA schema_name [, ...] ]
    abbreviated_grant_or_revoke

ここでabbreviated_grant_or_revokeは以下のいずれかです。

GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER }
    [,...] | ALL [ PRIVILEGES ] }
    ON TABLES
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT { { USAGE | SELECT | UPDATE }
    [,...] | ALL [ PRIVILEGES ] }
    ON SEQUENCES
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT { EXECUTE | ALL [ PRIVILEGES ] }
    ON FUNCTIONS
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

REVOKE [ GRANT OPTION FOR ]
    { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER }
    [,...] | ALL [ PRIVILEGES ] }
    ON TABLES
    FROM { [ GROUP ] role_name | PUBLIC } [, ...]
    [ CASCADE | RESTRICT ]

REVOKE [ GRANT OPTION FOR ]
    { { USAGE | SELECT | UPDATE }
    [,...] | ALL [ PRIVILEGES ] }
    ON SEQUENCES
    FROM { [ GROUP ] role_name | PUBLIC } [, ...]
    [ CASCADE | RESTRICT ]

REVOKE [ GRANT OPTION FOR ]
    { EXECUTE | ALL [ PRIVILEGES ] }
    ON FUNCTIONS
    FROM { [ GROUP ] role_name | PUBLIC } [, ...]
    [ CASCADE | RESTRICT ]

説明

ALTER DEFAULT PRIVILEGESにより今後作成されるオブジェクトに適用される権限を設定することができます。 (既存のオブジェクトに割り当てられている権限には影響しません。) 現時点ではテーブル(ビューを含む)、シーケンス、関数用の権限のみを変更可能です。

ユーザ自身、ユーザがメンバとして属するロールにより作成されるオブジェクト向けのデフォルト権限を変更することができます。 権限は大域的に(つまり現在のデータベース内に作成されるすべてのオブジェクトに対して)設定することも、指定したスキーマ内に作成されるオブジェクトのみに対して設定することもできます。 スキーマ単位で指定されるデフォルト権限は、大域的な個々の種類のオブジェクト用のデフォルト権限に追加されます。

GRANTの説明通り、任意の種類のオブジェクトのデフォルト権限は通常、オブジェクト所有者に対して付与可能な権限すべてを付与します。 また、同様にPUBLICに対して一部の権限を付与することもできます。 しかしこの動作はALTER DEFAULT PRIVILEGESを用いて大域デフォルト権限により変更可能です。

パラメータ

target_role

現在のロールがメンバとして属する、既存のロールの名前です。 FOR ROLEを省略した場合、現在のロールと仮定されます。

schema_name

既存のスキーマの名前です。 各target_roleは指定したスキーマそれぞれに対してCREATE権限を持つ必要があります。 IN SCHEMAを省略した場合、大域的なデフォルト権限が変更されます。

role_name

権限を付与または取り上げる、既存のロールの名前です。 このパラメータ、およびabbreviated_grant_or_revoke内の他のパラメータは、 GRANTREVOKEの説明通りに動作します。 ただし、指名したオブジェクトではなくオブジェクトクラス全体に対して権限を設定する点が異なります。

注釈

デフォルト権限としてすでに割り当てられている情報を入手するためにはpsql\ddpコマンドを使用してください。 権限の値の意味は、GRANT\dpの説明と同じです。

デフォルト権限を変更したロールを削除したい場合、デフォルト権限の項目を取り除くために、そのデフォルト権限の変更を元に戻すかDROP OWNED BYを使用する必要があります。

myschemaスキーマ内に今後作成されるすべてのテーブル(およびビュー)に対して、全員にSELECT権限を付与します。 また、webuserロールにはそれらに挿入できるようにします。

ALTER DEFAULT PRIVILEGES IN SCHEMA myschema GRANT SELECT ON TABLES TO PUBLIC;
ALTER DEFAULT PRIVILEGES IN SCHEMA myschema GRANT INSERT ON TABLES TO webuser;

今後作成されるテーブルが通常以外の権限を持たないように、上を元に戻します。

ALTER DEFAULT PRIVILEGES IN SCHEMA myschema REVOKE SELECT ON TABLES FROM PUBLIC;
ALTER DEFAULT PRIVILEGES IN SCHEMA myschema REVOKE INSERT ON TABLES FROM webuser;

今後adminロールにより作成されるすべての関数について、通常関数に付与される、全員に対するEXECUTE権限を取り除きます。

ALTER DEFAULT PRIVILEGES FOR ROLE admin REVOKE EXECUTE ON FUNCTIONS FROM PUBLIC;

互換性

標準SQLにはALTER DEFAULT PRIVILEGES文はありません。

関連項目

GRANT, REVOKE