PostgreSQL-এ রোল এবং প্রিভিলেজ কীভাবে কাজ করে?

Question

Accepted Answer

PostgreSQL **রোল** (যা ব্যবহারকারী এবং গ্রুপ উভয় হিসাবে কাজ করে) এবং **প্রিভিলেজ** (অবজেক্টে প্রদত্ত অনুমতি) এর মাধ্যমে অ্যাক্সেস কন্ট্রোল পরিচালনা করে। এই সিস্টেম নিয়ন্ত্রণ করে কে সংযোগ করতে পারে এবং তারা কী করতে পারে — যা ডাটাবেস নিরাপত্তার জন্য মৌলিক।

## রোল — ব্যবহারকারী এবং গ্রুপ একীভূত

```sql
-- a role can be a USER (can log in) or a GROUP (collection of permissions)
CREATE ROLE app_user WITH LOGIN PASSWORD 'secret';   -- a login role (a "user")
CREATE ROLE readonly;                                 -- a group role (no login)

-- roles can be members of other roles (inherit their privileges)
GRANT readonly TO app_user;          -- app_user inherits readonly's privileges
```

Postgres-এ, একটি **রোল** একটি একীভূত ধারণা — এটি লগ ইন করতে পারে (ব্যবহারকারী হিসাবে কাজ করে) এবং/বা অন্যান্য রোল ধারণ করতে পারে (গ্রুপ হিসাবে কাজ করে)। এই নমনীয় মডেল ব্যবহারকারী এবং অনুমতি গ্রুপ উভয়ই পরিচালনা করে।

## প্রিভিলেজ — অবজেক্টে অনুমতি প্রদান

```sql
-- grant specific privileges on objects
GRANT SELECT ON users TO readonly;                    -- read-only on a table
GRANT SELECT, INSERT, UPDATE, DELETE ON orders TO app_user;  -- full data access
GRANT USAGE ON SCHEMA sales TO app_user;              -- access a schema
GRANT ALL PRIVILEGES ON DATABASE mydb TO admin;

REVOKE INSERT ON orders FROM app_user;                -- take away a privilege
```

প্রিভিলেজ (`SELECT`, `INSERT`, `UPDATE`, `DELETE`, `USAGE`, ইত্যাদি) অবজেক্টে (টেবিল, স্কিমা, ডাটাবেস) রোলকে প্রদান করা হয় — প্রতিটি রোল ঠিক কী করতে পারে তা নিয়ন্ত্রণ করে।

## সর্বনিম্ন প্রিভিলেজের নীতি

```sql
-- ✅ grant only the permissions each role actually needs
GRANT SELECT ON reports TO analyst;     -- analyst can only READ reports
-- ❌ don't grant ALL PRIVILEGES or superuser broadly — minimize the blast radius
```

**সর্বনিম্ন প্রিভিলেজ** — প্রতিটি রোলকে শুধুমাত্র যে অনুমতি প্রয়োজন তা প্রদান করা — একটি মূল নিরাপত্তা অনুশীলন যা সমঝোতাকৃত শংসাপত্র বা ত্রুটি থেকে ক্ষতি সীমিত করে।

## ডিফল্ট প্রিভিলেজ এবং মালিকানা

```sql
-- the object's OWNER has full control; new objects need explicit grants
ALTER DEFAULT PRIVILEGES IN SCHEMA sales
  GRANT SELECT ON TABLES TO readonly;   -- auto-grant on FUTURE tables
```

## এটি কেন গুরুত্বপূর্ণ

PostgreSQL-এর রোল এবং প্রিভিলেজ বোঝা **ডাটাবেস নিরাপত্তা** এর জন্য গুরুত্বপূর্ণ — নিয়ন্ত্রণ করা যে কে ডাটাবেস অ্যাক্সেস করতে পারে এবং তারা কী করতে পারে তা ডেটা সুরক্ষার জন্য মৌলিক।

**রোল** ধারণাটি বোঝা (Postgres-এর একীভূত মডেল যেখানে রোল ব্যবহারকারী — যারা লগ ইন করতে পারে — এবং গ্রুপ — অনুমতির সংগ্রহ যা অন্যান্য রোল উত্তরাধিকার সূত্রে পায় — উভয় হিসাবে কাজ করে) অ্যাক্সেস পরিচালনার জন্য প্রয়োজনীয়, কারণ এটি কীভাবে আপনি ডাটাবেস ব্যবহারকারী তৈরি করেন এবং অনুমতি সংগঠিত করেন।

**প্রিভিলেজ** (`SELECT`, `INSERT`, ইত্যাদি) অবজেক্ট (টেবিল, স্কিমা, ডাটাবেস) এ রোলকে কীভাবে প্রদান এবং প্রত্যাহার করতে হয় তা জানা প্রতিটি ব্যবহারকারী বা অ্যাপ্লিকেশন ঠিক কী করতে পারে তা নিয়ন্ত্রণ করার জন্য অপরিহার্য।

গুরুত্বপূর্ণ হল **সর্বনিম্ন প্রিভিলেজের নীতি** — প্রতিটি রোলকে শুধুমাত্র যে অনুমতি এটি প্রকৃতপক্ষে প্রয়োজন তা প্রদান করা (যেমন শুধুমাত্র পড়ার জন্য বিশ্লেষক রোল, একটি অ্যাপ্লিকেশন রোল শুধুমাত্র প্রয়োজনীয় অ্যাক্সেস সহ) বিস্তৃত বা সুপারইউজার অনুমতির পরিবর্তে — যা একটি মূল নিরাপত্তা অনুশীলন যা সমঝোতাকৃত শংসাপত্র, বাগ, বা ত্রুটি থেকে ক্ষতি সীমিত করে (একটি বাস্তব, গুরুত্বপূর্ণ প্রতিরক্ষা)।

ডিফল্ট প্রিভিলেজ এবং মালিকানা বোঝা (অবজেক্ট মালিক সম্পূর্ণ নিয়ন্ত্রণ রাখে; ভবিষ্যতের অবজেক্টের স্পষ্ট অনুদান প্রয়োজন হতে পারে) ব্যবহারিক অ্যাক্সেস ব্যবস্থাপনা পরিপূর্ণ করে।

ডাটাবেস নিরাপত্তা গুরুত্বপূর্ণ (ডাটাবেস সংবেদনশীল, মূল্যবান ডেটা ধারণ করে), এবং রোল এবং সর্বনিম্ন-প্রিভিলেজ অনুদান এর মাধ্যমে উপযুক্ত অ্যাক্সেস নিয়ন্ত্রণ সেই ডেটা রক্ষা করে এবং ঝুঁকি সীমিত করে, PostgreSQL-এর রোল এবং প্রিভিলেজ বোঝা — একীভূত রোল মডেল, প্রিভিলেজ প্রদান/প্রত্যাহার, এবং বিশেষত সর্বনিম্ন-প্রিভিলেজ নীতি — উৎপাদন ডাটাবেস পরিচালনা এবং সুরক্ষার জন্য গুরুত্বপূর্ণ নিরাপত্তা-প্রাসঙ্গিক জ্ঞান, একটি ঘন ঘন-প্রাসঙ্গিক দায়িত্ব এবং ডাটাবেস অ্যাক্সেস পরিচালনা করে এমন কাউকে জন্য একটি সাধারণ বিষয়।