説明

The <command>GRANT</command> command has two basic variants: one that grants privileges on a database object (table, column, view, foreign table, sequence, database, foreign-data wrapper, foreign server, function, procedure, procedural language, large object, configuration parameter, schema, tablespace, or type), and one that grants membership in a role. These variants are similar in many ways, but they are different enough to be described separately. GRANTには基本的に2つの種類があります。 1つはデータベースオブジェクト（テーブル、列、ビュー、外部テーブル、シーケンス、データベース、外部データラッパー、外部サーバ、関数、プロシージャ、手続き言語、ラージオブジェクト、設定パラメータ、スキーマ、テーブル空間、型）に対する権限の付与、もう1つはロール内のメンバ資格の付与です。 これらの種類は多くの点で似ていますが、説明は別々に行わなければならない程違いがあります。

注釈

The <link linkend="sql-revoke"><command>REVOKE</command></link> command is used to revoke access privileges. アクセス権限を取り消すには、REVOKEコマンドが使用されます。

Since <productname>PostgreSQL</productname> 8.1, the concepts of users and groups have been unified into a single kind of entity called a role. It is therefore no longer necessary to use the keyword <literal>GROUP</literal> to identify whether a grantee is a user or a group. <literal>GROUP</literal> is still allowed in the command, but it is a noise word. PostgreSQL 8.1から、ユーザとグループという概念は、ロールと呼ばれる１種類の実体に統合されました。 そのため、付与される者がユーザかグループかどうかを識別するためにGROUPキーワードを使用する必要はなくなりました。 このコマンドではまだGROUPを使うことはできますが、何の意味もありません。

A user may perform <command>SELECT</command>, <command>INSERT</command>, etc. on a column if they hold that privilege for either the specific column or its whole table. Granting the privilege at the table level and then revoking it for one column will not do what one might wish: the table-level grant is unaffected by a column-level operation. ユーザは特定の列あるいはテーブル全体に対する権限を持つ場合にSELECT、INSERTなどを実行することができます。 テーブルレベルの権限を付与してからある列に対する権限を取り消しても、望むことは実現できません。 テーブルレベルの権限は列レベルの操作による影響を受けないからです。

When a non-owner of an object attempts to <command>GRANT</command> privileges on the object, the command will fail outright if the user has no privileges whatsoever on the object. As long as some privilege is available, the command will proceed, but it will grant only those privileges for which the user has grant options. The <command>GRANT ALL PRIVILEGES</command> forms will issue a warning message if no grant options are held, while the other forms will issue a warning if grant options for any of the privileges specifically named in the command are not held. (In principle these statements apply to the object owner as well, but since the owner is always treated as holding all grant options, the cases can never occur.) オブジェクトの所有者でもなく、そのオブジェクトに何の権限も持たないユーザが、そのオブジェクトの権限をGRANTしようとしても、コマンドの実行は直ちに失敗します。 何らかの権限を持っている限り、コマンドの実行は進行しますが、与えることのできる権限は、そのユーザがグラントオプションを持つ権限のみです。 グラントオプションを持っていない場合、GRANT ALL PRIVILEGES構文は警告メッセージを発します。 一方、その他の構文では、コマンドで名前を指定した権限に関するグラントオプションを持っていない場合に警告メッセージを発します （原理上、ここまでの説明はオブジェクトの所有者に対しても当てはまりますが、所有者は常に全てのグラントオプションを保持しているものとして扱われるため、こうした状態は決して起こりません）。

It should be noted that database superusers can access all objects regardless of object privilege settings. This is comparable to the rights of <literal>root</literal> in a Unix system. As with <literal>root</literal>, it's unwise to operate as a superuser except when absolutely necessary. データベーススーパーユーザは、オブジェクトに関する権限設定に関係なく、全てのオブジェクトにアクセスできることには注意しなければなりません。 スーパーユーザが持つ権限は、Unixシステムにおけるroot権限に似ています。 rootと同様、どうしても必要という場合以外は、スーパーユーザとして操作を行わないのが賢明です。

If a superuser chooses to issue a <command>GRANT</command> or <command>REVOKE</command> command, the command is performed as though it were issued by the owner of the affected object. In particular, privileges granted via such a command will appear to have been granted by the object owner. (For role membership, the membership appears to have been granted by the bootstrap superuser.) スーパーユーザがGRANTやREVOKEコマンドの発行を選択した場合、それらのコマンドは対象とするオブジェクトの所有者が発行したかのように実行されます。 特に、こうしたコマンドで与えられる権限は、オブジェクトの所有者によって与えられたものとして表されます。 （ロールのメンバ資格では、メンバ資格はブートストラップスーパーユーザが与えたものとして表されます。）

<command>GRANT</command> and <command>REVOKE</command> can also be done by a role that is not the owner of the affected object, but is a member of the role that owns the object, or is a member of a role that holds privileges <literal>WITH GRANT OPTION</literal> on the object. In this case the privileges will be recorded as having been granted by the role that actually owns the object or holds the privileges <literal>WITH GRANT OPTION</literal>. For example, if table <literal>t1</literal> is owned by role <literal>g1</literal>, of which role <literal>u1</literal> is a member, then <literal>u1</literal> can grant privileges on <literal>t1</literal> to <literal>u2</literal>, but those privileges will appear to have been granted directly by <literal>g1</literal>. Any other member of role <literal>g1</literal> could revoke them later. GRANTおよびREVOKEは、対象のオブジェクトの所有者以外のロールによって実行することもできますが、 オブジェクトを所有するロールのメンバであるか、そのオブジェクトに対しWITH GRANT OPTION権限を持つロールのメンバでなければなりません。 この場合、その権限は、そのオブジェクトの実際の所有者ロールまたはWITH GRANT OPTION権限を持つロールによって付与されたものとして記録されます。 例えば、テーブルt1がロールg1によって所有され、ロールu1がロールg1のメンバであるとします。 この場合、u1はt1に関する権限をu2に付与できます。 しかし、これらの権限はg1によって直接付与されたものとして現れます。 後でロールg1の他のメンバがこの権限を取り消すことができます。

If the role executing <command>GRANT</command> holds the required privileges indirectly via more than one role membership path, it is unspecified which containing role will be recorded as having done the grant. In such cases it is best practice to use <command>SET ROLE</command> to become the specific role you want to do the <command>GRANT</command> as. GRANTを実行したロールが、ロールの持つ複数メンバ資格の経路を通して間接的に必要な権限を持つ場合、 どのロールが権限を付与したロールとして記録されるかについては指定されません。 こうした場合、SET ROLEを使用して、GRANTを行わせたい特定のロールになることを推奨します。

Granting permission on a table does not automatically extend permissions to any sequences used by the table, including sequences tied to <type>SERIAL</type> columns. Permissions on sequences must be set separately. テーブルへの権限付与によって、SERIAL列によって関連付けされたシーケンスを含め、そのテーブルで使用されるシーケンスへの権限の拡張は自動的に行われません。 シーケンスへの権限は別途設定しなければなりません。

See <xref linkend="ddl-priv"/> for more information about specific privilege types, as well as how to inspect objects' privileges. 特定の権限の種類に関するより詳しい情報や、対象の権限を調査する方法は5.7を参照してください。

例

Grant insert privilege to all users on table <literal>films</literal>: テーブルfilmsにデータを追加する権限を全てのユーザに与えます。

GRANT INSERT ON films TO PUBLIC;

Grant all available privileges to user <literal>manuel</literal> on view <literal>kinds</literal>: ビューkindsにおける利用可能な全ての権限を、ユーザmanuelに与えます。

GRANT ALL PRIVILEGES ON kinds TO manuel;

Note that while the above will indeed grant all privileges if executed by a superuser or the owner of <literal>kinds</literal>, when executed by someone else it will only grant those permissions for which the someone else has grant options. 上のコマンドをスーパーユーザやkindsの所有者が実行した場合は、全ての権限が付与されますが、他のユーザが実行した場合は、そのユーザがグラントオプションを持つ権限のみが付与されることに注意してください。

Grant membership in role <literal>admins</literal> to user <literal>joe</literal>: ロールadmins内のメンバ資格をユーザjoeに与えます。

GRANT admins TO joe;

互換性

According to the SQL standard, the <literal>PRIVILEGES</literal> key word in <literal>ALL PRIVILEGES</literal> is required. The SQL standard does not support setting the privileges on more than one object per command. 標準SQLでは、ALL PRIVILEGES内のPRIVILEGESキーワードは必須です。 標準SQLでは、1つのコマンドで複数のオブジェクトに権限を設定することはサポートしていません。

<productname>PostgreSQL</productname> allows an object owner to revoke their own ordinary privileges: for example, a table owner can make the table read-only to themselves by revoking their own <literal>INSERT</literal>, <literal>UPDATE</literal>, <literal>DELETE</literal>, and <literal>TRUNCATE</literal> privileges. This is not possible according to the SQL standard. The reason is that <productname>PostgreSQL</productname> treats the owner's privileges as having been granted by the owner to themselves; therefore they can revoke them too. In the SQL standard, the owner's privileges are granted by an assumed entity <quote>_SYSTEM</quote>. Not being <quote>_SYSTEM</quote>, the owner cannot revoke these rights. PostgreSQLでは、オブジェクトの所有者は、自身が持つ権限を取り消すことができます。 例えば、テーブル所有者は自身のINSERT、UPDATE、DELETE、TRUNCATE権限を取り消すことで、自分にとってそのテーブルが読み取り専用になるよう変更することができます。 これは、標準SQLでは不可能です。 PostgreSQLでは、所有者の権限を、所有者自身により与えられたものとして扱っているため、同様に所有者自身で権限を取り消すことができるようになっています。 標準SQLでは、所有者の権限は仮想的なエンティティ「_SYSTEM」によって与えられたものとして扱っています。 所有者は「_SYSTEM」ではないため、その権限を取り消すことができません。

According to the SQL standard, grant options can be granted to <literal>PUBLIC</literal>; PostgreSQL only supports granting grant options to roles. 標準SQLにしたがうと、グラントオプションはPUBLICに対して与えることができます。 PostgreSQLではグラントオプションはロールに対して与えることのみをサポートしています。

The SQL standard allows the <literal>GRANTED BY</literal> option to specify only <literal>CURRENT_USER</literal> or <literal>CURRENT_ROLE</literal>. The other variants are PostgreSQL extensions. 標準SQLでは、GRANTED BYオプションに指定できるのはCURRENT_USERとCURRENT_ROLEだけです。 その他のものはPostgreSQLの拡張です。

The SQL standard provides for a <literal>USAGE</literal> privilege on other kinds of objects: character sets, collations, translations. 標準SQLでは、文字セット、照合順序、翻訳といったその他の種類のオブジェクトに対して、USAGE権限を付与することができます。

In the SQL standard, sequences only have a <literal>USAGE</literal> privilege, which controls the use of the <literal>NEXT VALUE FOR</literal> expression, which is equivalent to the function <function>nextval</function> in PostgreSQL. The sequence privileges <literal>SELECT</literal> and <literal>UPDATE</literal> are PostgreSQL extensions. The application of the sequence <literal>USAGE</literal> privilege to the <literal>currval</literal> function is also a PostgreSQL extension (as is the function itself). 標準SQLでは、シーケンスはUSAGE権限のみを持ちます。 これはPostgreSQLにおけるnextval関数と等価なNEXT VALUE FOR式の使用を制御するものです。 シーケンスに関するSELECT権限とUPDATE権限はPostgreSQLの拡張です。 シーケンスに関するUSAGE権限がcurrval関数にも適用される点もPostgreSQLの拡張です(この関数自体が拡張です)。

Privileges on databases, tablespaces, schemas, languages, and configuration parameters are <productname>PostgreSQL</productname> extensions. データベース、テーブル空間、スキーマ、言語、設定パラメータについての権限はPostgreSQLの拡張です。

関連項目