ALTER DEFAULT PRIVILEGES <refpurpose>define default access privileges</refpurpose> — デフォルトのアクセス権限を定義する
ALTER DEFAULT PRIVILEGES
[ FOR { ROLE | USER } target_role [, ...] ]
[ IN SCHEMA schema_name [, ...] ]
abbreviated_grant_or_revoke
<phrase>where <replaceable class="parameter">abbreviated_grant_or_revoke</replaceable> is one of:</phrase>
ここでabbreviated_grant_or_revokeは以下のいずれかです。
GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER | MAINTAIN }
[, ...] | ALL [ PRIVILEGES ] }
ON TABLES
TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { { USAGE | SELECT | UPDATE }
[, ...] | ALL [ PRIVILEGES ] }
ON SEQUENCES
TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { EXECUTE | ALL [ PRIVILEGES ] }
ON { FUNCTIONS | ROUTINES }
TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { USAGE | ALL [ PRIVILEGES ] }
ON TYPES
TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { { USAGE | CREATE }
[, ...] | ALL [ PRIVILEGES ] }
ON SCHEMAS
TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
REVOKE [ GRANT OPTION FOR ]
{ { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER | MAINTAIN }
[, ...] | ALL [ PRIVILEGES ] }
ON TABLES
FROM { [ GROUP ] role_name | PUBLIC } [, ...]
[ CASCADE | RESTRICT ]
REVOKE [ GRANT OPTION FOR ]
{ { USAGE | SELECT | UPDATE }
[, ...] | ALL [ PRIVILEGES ] }
ON SEQUENCES
FROM { [ GROUP ] role_name | PUBLIC } [, ...]
[ CASCADE | RESTRICT ]
REVOKE [ GRANT OPTION FOR ]
{ EXECUTE | ALL [ PRIVILEGES ] }
ON { FUNCTIONS | ROUTINES }
FROM { [ GROUP ] role_name | PUBLIC } [, ...]
[ CASCADE | RESTRICT ]
REVOKE [ GRANT OPTION FOR ]
{ USAGE | ALL [ PRIVILEGES ] }
ON TYPES
FROM { [ GROUP ] role_name | PUBLIC } [, ...]
[ CASCADE | RESTRICT ]
REVOKE [ GRANT OPTION FOR ]
{ { USAGE | CREATE }
[, ...] | ALL [ PRIVILEGES ] }
ON SCHEMAS
FROM { [ GROUP ] role_name | PUBLIC } [, ...]
[ CASCADE | RESTRICT ]
<command>ALTER DEFAULT PRIVILEGES</command> allows you to set the
privileges that will be applied to objects created in the future.
(It does not affect privileges assigned to already-existing objects.)
Privileges can be set globally (i.e., for all objects created in the
current database), or just for objects created in specified schemas.
ALTER DEFAULT PRIVILEGESを使用すると、将来作成されるオブジェクトに適用される権限を設定できます。
(既存のオブジェクトに割り当てられている権限には影響しません。)
権限は大域的に(つまり現在のデータベース内に作成されるすべてのオブジェクトに対して)設定することも、指定したスキーマ内に作成されるオブジェクトのみに対して設定することもできます。
While you can change your own default privileges and the defaults of roles that you are a member of, at object creation time, new object permissions are only affected by the default privileges of the current role, and are not inherited from any roles in which the current role is a member. ユーザ自身のデフォルト権限とユーザがメンバとして属するロールのデフォルト権限は変更できますが、オブジェクト作成時には、新しいオブジェクト権限は現在のロールのデフォルト権限のみに影響され、現在のロールがメンバであるロールから継承されることはありません。
As explained in <xref linkend="ddl-priv"/>,
the default privileges for any object type normally grant all grantable
permissions to the object owner, and may grant some privileges to
<literal>PUBLIC</literal> as well. However, this behavior can be changed by
altering the global default privileges with
<command>ALTER DEFAULT PRIVILEGES</command>.
5.8の説明にある通り、どの種類のオブジェクトについてもデフォルト権限は通常、オブジェクト所有者に対して付与可能な権限すべてを付与します。
さらに、PUBLICに対して一部の権限を付与することがあります。
しかしALTER DEFAULT PRIVILEGESを用いて大域デフォルト権限を変更することで、この動作を変更できます。
Currently,
only the privileges for schemas, tables (including views and foreign
tables), sequences, functions, and types (including domains) can be
altered. For this command, functions include aggregates and procedures.
The words <literal>FUNCTIONS</literal> and <literal>ROUTINES</literal> are
equivalent in this command. (<literal>ROUTINES</literal> is preferred
going forward as the standard term for functions and procedures taken
together. In earlier PostgreSQL releases, only the
word <literal>FUNCTIONS</literal> was allowed. It is not possible to set
default privileges for functions and procedures separately.)
現時点ではスキーマ、テーブル(ビュー、外部テーブルを含む)、シーケンス、関数、型(ドメインを含む)用の権限のみを変更可能です。
このコマンドでは、関数は集約とプロシージャを含みます。
FUNCTIONSとROUTINESは、このコマンドでは同じです。
(ROUTINESが、関数とプロシージャを合わせた標準の用語ですので、今後は好まれます。
PostgreSQLの以前のリリースではFUNCTIONSだけが許されていました。
関数とプロシージャに対して別々にデフォルト権限を設定することはできません。)
Default privileges that are specified per-schema are added to whatever
the global default privileges are for the particular object type.
This means you cannot revoke privileges per-schema if they are granted
globally (either by default, or according to a previous <command>ALTER
DEFAULT PRIVILEGES</command> command that did not specify a schema).
Per-schema <literal>REVOKE</literal> is only useful to reverse the
effects of a previous per-schema <literal>GRANT</literal>.
スキーマ単位で指定されるデフォルト権限は、大域的な個々の種類のオブジェクト用のデフォルト権限に追加されます。
これは、スキーマ単位の権限が(デフォルトであれ、以前のスキーマを指定しないALTER DEFAULT PRIVILEGESコマンドよってであれ)大域的に付与されているのなら、それを取り消せないことを意味します。
スキーマ単位のREVOKEは、以前のスキーマ単位のGRANTの効果を取り消すのにのみ有用です。
target_role
Change default privileges for objects created by the
<replaceable>target_role</replaceable>, or the current
role if unspecified.
target_roleによって作成されたオブジェクトのデフォルト権限、または指定されていない場合は現在のロールの権限を変更します。
schema_name
The name of an existing schema. If specified, the default privileges
are altered for objects later created in that schema.
If <literal>IN SCHEMA</literal> is omitted, the global default privileges
are altered.
<literal>IN SCHEMA</literal> is not allowed when setting privileges
for schemas, since schemas can't be nested.
既存のスキーマの名前です。
指定された場合、そのスキーマ内で後に作成されるオブジェクトに対するデフォルト権限が変更されます。
IN SCHEMAを省略した場合、大域的なデフォルト権限が変更されます。
スキーマはネストできないため、スキーマに対する権限を設定する場合にはIN SCHEMAを指定できません。
role_name
The name of an existing role to grant or revoke privileges for.
This parameter, and all the other parameters in
<replaceable class="parameter">abbreviated_grant_or_revoke</replaceable>,
act as described under
<xref linkend="sql-grant"/> or
<xref linkend="sql-revoke"/>,
except that one is setting permissions for a whole class of objects
rather than specific named objects.
権限を付与または取り消す、既存のロールの名前です。
このパラメータ、およびabbreviated_grant_or_revoke内の他のパラメータは、 GRANTやREVOKEの説明通りに動作します。
ただし、指定したオブジェクトではなくオブジェクトクラス全体に対して権限を設定する点が異なります。
Use <xref linkend="app-psql"/>'s <command>\ddp</command> command
to obtain information about existing assignments of default privileges.
The meaning of the privilege display is the same as explained for
<command>\dp</command> in <xref linkend="ddl-priv"/>.
デフォルト権限としてすでに割り当てられている情報を入手するためにはpsqlの\ddpコマンドを使用してください。
権限の表示の意味は、5.8の\dpの説明と同じです。
If you wish to drop a role for which the default privileges have been
altered, it is necessary to reverse the changes in its default privileges
or use <command>DROP OWNED BY</command> to get rid of the default privileges entry
for the role.
デフォルト権限を変更したロールを削除したい場合、デフォルト権限の項目を取り除くために、そのデフォルト権限の変更を元に戻すかDROP OWNED BYを使用する必要があります。
Grant SELECT privilege to everyone for all tables (and views) you
subsequently create in schema <literal>myschema</literal>, and allow
role <literal>webuser</literal> to INSERT into them too:
スキーマmyschema内に今後作成されるすべてのテーブル(およびビュー)に対して、全員にSELECT権限を付与します。
また、ロールwebuserにはそれらに挿入できるようにします。
ALTER DEFAULT PRIVILEGES IN SCHEMA myschema GRANT SELECT ON TABLES TO PUBLIC; ALTER DEFAULT PRIVILEGES IN SCHEMA myschema GRANT INSERT ON TABLES TO webuser;
Undo the above, so that subsequently-created tables won't have any more permissions than normal: 今後作成されるテーブルが通常以外の権限を持たないように、上を元に戻します。
ALTER DEFAULT PRIVILEGES IN SCHEMA myschema REVOKE SELECT ON TABLES FROM PUBLIC; ALTER DEFAULT PRIVILEGES IN SCHEMA myschema REVOKE INSERT ON TABLES FROM webuser;
Remove the public EXECUTE permission that is normally granted on functions,
for all functions subsequently created by role <literal>admin</literal>:
今後adminロールにより作成されるすべての関数について、通常関数に付与される、全員に対するEXECUTE権限を取り除きます。
ALTER DEFAULT PRIVILEGES FOR ROLE admin REVOKE EXECUTE ON FUNCTIONS FROM PUBLIC;
Note however that you <emphasis>cannot</emphasis> accomplish that effect
with a command limited to a single schema. This command has no effect,
unless it is undoing a matching <literal>GRANT</literal>:
しかしながら、スキーマ1つに限定されたコマンドではそのような効果は達成できないということに注意してください。
対応するGRANTを取り消さない限り、以下のコマンドは効果がありません。
ALTER DEFAULT PRIVILEGES IN SCHEMA public REVOKE EXECUTE ON FUNCTIONS FROM PUBLIC;
That's because per-schema default privileges can only add privileges to the global setting, not remove privileges granted by it. スキーマ単位のデフォルト権限は、大域的な設定に権限を追加できるだけで、付与された権限を削除することはできないからです。
There is no <command>ALTER DEFAULT PRIVILEGES</command> statement in the SQL
standard.
標準SQLにはALTER DEFAULT PRIVILEGES文はありません。