PostgreSQL, erişim denetimini roller (hem kullanıcı hem de grup olarak hizmet veren) ve ayrıcalıklar (nesneler üzerinde verilen izinler) aracılığıyla yönetir. Bu sistem, kimin bağlanabileceğini ve ne yapabileceğini kontrol eder — veritabanı güvenliğinin temeli.
ROLE app_user LOGIN PASSWORD ;
ROLE readonly;
readonly app_user;
Postgres'te, bir rol birleştirilmiş bir kavramdır — oturum açabilir (kullanıcı olarak hareket edebilir) ve/veya diğer rolleri içerebilir (grup olarak hareket edebilir). Bu esnek model, hem kullanıcıları hem de izin gruplarını yönetir.
-- grant specific privileges on objects
GRANT SELECT ON users TO readonly; -- read-only on a table
GRANT SELECT, INSERT, UPDATE, DELETE ON orders TO app_user; -- full data access
GRANT USAGE ON SCHEMA sales TO app_user; -- access a schema
GRANT ALL PRIVILEGES ON DATABASE mydb TO admin;
REVOKE INSERT ON orders FROM app_user; -- take away a privilege
Ayrıcalıklar (SELECT, INSERT, UPDATE, DELETE, USAGE, vb.) nesneler (tablolar, şemalar, veritabanları) üzerinde roller için verilir — her rolün tam olarak ne yapabileceğini kontrol eder.
-- ✅ grant only the permissions each role actually needs
GRANT SELECT ON reports TO analyst; -- analyst can only READ reports
-- ❌ don't grant ALL PRIVILEGES or superuser broadly — minimize the blast radius
En az ayrıcalık — her role yalnızca ihtiyacı olan izinleri vermek — tehlikeye düşmüş kimlik bilgileri veya hatalardan kaynaklanan hasarı sınırlayan temel bir güvenlik uygulamasıdır.
-- the object's OWNER has full control; new objects need explicit grants
ALTER DEFAULT PRIVILEGES IN SCHEMA sales
GRANT SELECT ON TABLES TO readonly; -- auto-grant on FUTURE tables
PostgreSQL'nin roller ve ayrıcalıklarını anlamak veritabanı güvenliği için önemlidir — kimin veritabanına erişebileceğini ve ne yapabileceğini kontrol etmek, verileri korumak için temeldir, bu nedenle bu bilgi herhangi bir üretim veritabanı için değerlidir.
Rol kavramını anlamak (PostgreSQL'nin birleştirilmiş modeli, burada roller hem oturum açabilen kullanıcılar hem de diğer rollerin miras aldığı izin koleksiyonları olan gruplar olarak hizmet ederler) erişimi yönetmek için gereklidir, çünkü veritabanı kullanıcıları oluşturmak ve izinleri düzenlemek için budur.
Nesneler (tablolar, şemalar, veritabanları) üzerinde roller için ayrıcalıklar (SELECT, INSERT, vb.) vermeyi ve geri almayı bilmek, her kullanıcının veya uygulamanın tam olarak ne yapabileceğini kontrol etmek için gereklidir.
Bu kadar kritik olan en az ayrıcalık ilkesi — her role yalnızca gerçekten ihtiyacı olan izinleri vermek (örn. salt okunur analiz rolü, yalnızca gerektirdiği erişime sahip uygulama rolü) geniş veya süper kullanıcı izinleri yerine — tehlikeye düşmüş kimlik bilgileri, hatalar veya yanlışlıklardan kaynaklanan hasarı sınırlayan temel bir güvenlik uygulamasıdır (gerçek, önemli bir savunma).
Varsayılan ayrıcalıkları ve sahipliği anlamak (nesne sahibi tam kontrole sahiptir; gelecek nesneler açık hibeler gerektirebilir) pratik erişim yönetimini tamamlar.
Veritabanı güvenliği kritik olduğundan (veritabanlar hassas, değerli veriler tutar) ve roller ve en az ayrıcalık hibeler aracılığıyla uygun erişim denetimi bu verileri korumak ve riski sınırlamak için nasıl yapılırsa yapılsın, PostgreSQL'nin roller ve ayrıcalıklarını anlamak — birleştirilmiş rol modeli, ayrıcalıklar verme/geri alma ve özellikle en az ayrıcalık ilkesi — veritabanı erişimini yönetmek ve korumak için önemli güvenlikle ilgili bilgidir, sık relevan bir sorumluluk ve veritabanı erişimini yöneten herkes için yaygın bir konudur.