postgresql - 使用 terraform 创建只读 postgres 用户-6ren

postgresql - 使用 terraform 创建只读 postgres 用户

转载作者：行者123 更新时间：2023-12-04 17:29:46

26

4

我正在尝试找到正确的 terraform 模块组合以在 postgres RDS 实例中创建只读用户。

https://www.terraform.io/docs/providers/postgresql/

我有一个包含两个模式的数据库 - public 和 www。

我已经开始了:

resource "postgresql_role" "readonly" {                                                                                                                                                      
  name = "readonly"                                                                                                                                                                          
}                                                                                                                                                                                            

resource postgresql_grant "readonly_public" {                                                                                                                                                
  database    = "db_name"                                                                                                                                                                    
  role        = postgresql_role.readonly.name                                                                                                                                                
  schema      = "public"                                                                                                                                                                     
  object_type = "table"                                                                                                                                                                      
  privileges  = ["SELECT"]                                                                                                                                                                   
}                                                                                                                                                                                            

resource postgresql_grant "readonly_www" {                                                                                                                                                   
  database    = "db_name"                                                                                                                                                                    
  role        = postgresql_role.readonly.name                                                                                                                                                
  schema      = "www"                                                                                                                                                                        
  object_type = "table"                                                                                                                                                                      
  privileges  = ["SELECT"]                                                                                                                                                                   
}                                                                                                                                                                                            

resource "postgresql_role" "readonly_user" {                                                                                                                                                 
  name     = "readonly_user"                                                                                                                                                                 
  password = "some_password_123"                                                                                                                                                             
  login    = true                                                                                                                                                                            
  roles = [postgresql_role.readonly.name]                                                                                                                                                    
}

意图是:

1) 创建一个名为 readonly 的角色，它只能对 db_name 数据库中的两个模式具有 SELECT 访问权限。

2) 创建一个名为readonly_user 的可以登录的用户，并赋予他们角色readonly。

当我这样做时，创建的用户仍然可以(例如)创建一个表。但是，他们确实对表本身具有只读访问权限。

\du 的轻微编辑结果:

db_name=> \du

     Role name  |   Attributes                   |  Member of
----------------+--------------------------------+---------------------------
 readonly_user  | Password valid until infinity  | {readonly}
 readonly       | Cannot login                  +| {}
                | Password valid until infinity  |

如果有一种方法可以创建只能通过 terraform 读取信息的用户，我将不胜感激。

最佳答案

我不相信 postgres 的 tf 提供程序会这样做。您需要手动撤销这些，因为这是 postgres 的默认行为。

https://github.com/terraform-providers/terraform-provider-postgresql/issues/85

https://www.postgresql.org/docs/11/ddl-schemas.html#DDL-SCHEMAS-PRIV

A user can also be allowed to create objects in someone else's schema. To allow that, the CREATE privilege on the schema needs to be granted. Note that by default, everyone has CREATE and USAGE privileges on the schema public. This allows all users that are able to connect to a given database to create objects in its public schema. Some usage patterns call for revoking that privilege:

关于postgresql - 使用 terraform 创建只读 postgres 用户，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/60820805/

26

4

0

文章推荐： java - ImageView 不在不同设备之间缩放

文章推荐： java - 在 IDEA 2019.3+ 中更改外部注释位置

文章推荐：使用 Winsw 的 Jenkins Windows Slave 设置不起作用

文章推荐： python - Altair 多面直方图 - 独立尺度

postgresql - 将旧表从已删除的 postgresql 导入到新安装的 postgresql
我的 postgresql 有问题，我复制了所有文件，然后将其删除。然后，我安装了新的，问题就解决了。现在可以将旧文件和文件导入新文件吗？最佳答案如果它们是相同的主要版本(即 9.0 到 9.0.
postgresql - postgresql 服务器启动时，postgresql 中是否有任何系统表自动更新？
我想使用 Postgresql 9.2.2 来存储我的应用程序的数据。我不得不构建一个应该基于数据库级别的触发器(当数据库启动时，这个触发器将被触发并执行。)，当 postgresql 服务器启动时是
postgresql - 如何从 Postgresql 目录表中检索 Postgresql 序列缓存值？
我已经使用下面的查询从 Postgresql 目录表中获取 Sequence 对象的完整信息 select s.sequence_name, s.start_value, s.minimum_valu
postgresql - 执行函数从本地 PostgreSQL 数据库返回远程 PostgreSQL 数据库中的数据
Postgres 版本:9.3.4 我需要执行驻留在远程数据库中的函数。该函数根据给定的参数返回一个统计数据表。我实际上只是在我的本地数据库中镜像该函数，以使用我的数据库角色和授权来锁定对该函数的访
postgresql - 在没有 postgresql-server 的情况下重启 PostgreSQL
我在 CentOS 7 上，我正在尝试解决“PG::ConnectionBad: FATAL: Peer authentication failed for user”错误。所以我已经想出我应该更改
postgresql - Postgresql - 使用动态列名触发
我写了一个触发器函数，在触发器表列名上循环，我从具有不同列的不同表调用该函数。该函数将列名插入到数组中并在它们上循环，以便将值插入到另一个模式和表中。函数和触发器创建脚本: DROP TRIGGER
postgresql - PostgreSQL 的默认空闲连接超时值是多少
PostgreSQL 的默认空闲连接超时是多少，我运行了 show idle_in_transaction_session_timeout 查询并返回了 0，但是值 0 表示此选项被禁用，但我想知道默
postgresql - Postgresql 中十六进制值的适当数据类型？
我需要将十六进制值存储到数据库表中，谁能推荐我需要用于属性的数据类型？提前致谢最佳答案您可以使用bytea 来存储十六进制格式。更多信息 can be found in the postgres
postgresql - Postgresql 中是否需要对复合主键的一部分进行索引？
我有一个具有复合主键的(大)表，由 5 列(a、b、c、d、e)组成。我想高效地选择具有其中两列 (a + e) 的所有行到给定值。在 PostgreSQL 中，我需要索引吗？或者数据库会使用主键
postgresql - PostgreSQL 如何在内部存储日期时间类型
在阅读 PostreSQL (13) 文档时，我遇到了 this页面，其中列出了不同日期时间类型的存储大小。除其他外，它指出: Name Storag
postgresql - PostgreSQL 中批量插入的最佳大小
我有两个大整数的巨大表(500 000 000 行)。两列都被单独索引。我正在使用语法批量插入此表: INSERT into table (col1, col2) VALUES(x0, y0), (x
postgresql - 无法启动 PostgreSQL
有一台 CentOS7 Linux 机器正在运行(不是由我管理；拥有有限的权限)。请求在其中设置 PostgreSQL。刚刚从 CentOS 存储库安装了 PostgreSQL: sudo yum
postgresql - 是否可以在不破坏现有数据库的情况下安装 Postgresql？
我在 Ubuntu 18.04 上安装了 Postgresql 10，但不知何故坏了，不会重新启动。我可以重新安装它而不破坏它的数据库，以便我可以再次访问数据库吗？ pg_dump 不起作用。最佳答
postgresql - postgresql 中的自动备份创建空备份
我想在 UNIX 中使用 crontab 自动备份 PostgreSQL 数据库。我已经尝试过，但它会创建 0 字节备份。我的 crontab 条目是: 24 * * * * /home/desk
postgresql - 允许远程连接 postgresql
我已经完成了PG服务器的安装。我希望能够使用 pgAdmin 远程连接到它，但不断收到服务器不听错误。 could not connect to server: Connection refused
PostgreSQL:PostgreSQL 支持波斯历吗？
Oracle 支持波斯历但需要知道 PostgreSQL 是否支持波斯历？如果是，那么我们如何在 PostgreSQL 中将默认日历类型设置为 Persian 而不是 Gregorian(在 Ora
postgresql - PostgreSQL 模式的命名空间版本以实现向后兼容性？
假设我们有一个带有表的 SQL 数据库 Person以及访问它的几个应用程序。出于某种原因，我们想修改 Person表以向后不兼容的方式。保持兼容性的一种潜在解决方案是将表重命名为 User并创建一
postgresql - PostgreSQL 中的模式是物理对象吗？
我使用 PostgreSQL 中的模式来组织我庞大的会计数据库。每年年底，我都会通过为下一年创建一个新模式来进行协调过程。新模式的文件是否与旧模式物理分离？或者所有模式一起存储在硬盘上？这对我来说
postgresql - PostgreSQL autovacuum中的autovacuum_vacuum_cost_delay是什么？
我正在尝试使用配置文件中的以下配置参数调整 PostgreSQL 服务器: autovacuum_freeze_max_age = 500000000 autovacuum_max_workers =
postgresql - 如何仅查询具有表情符号的数据(postgresql)
我的数据包含数据库列中的表情符号，即 message_text ------- 🙂 😀 Hi 😀 我只想查询包含表情符号的数据的行。在 postgres 中是否有一种简单的方法可以做到这一点？

首页

博学

6Ren·AI

商城

postgresql - 使用 terraform 创建只读 postgres 用户