数据库类型概述
PostgreSQL 采用“角色(role)”统一管理用户与组,角色可具有登录能力(LOGIN)与一组系统属性(如 SUPERUSER、CREATEDB、CREATEROLE、REPLICATION、BYPASSRLS),并通过角色继承与对象级 ACL(GRANT/REVOKE)实现权限控制。权限粒度覆盖:
- 实例/集群级:连接保留、监控、发送信号、读/写服务器文件等(通过内置默认角色与系统属性)。
- 数据库级:CONNECT、CREATE、TEMPORARY。
- Schema 级:USAGE、CREATE。
- 表级:SELECT、INSERT、UPDATE、DELETE、TRUNCATE、REFERENCES、TRIGGER。
- 序列级(PG14+粒度更细):USAGE(nextval)、SELECT(currval/lastval)、UPDATE(setval)。
- 函数/过程:EXECUTE。
- 语言:USAGE。
- 外部资源(FDW/服务器):USAGE。
- 行级安全(RLS):按策略约束可见/可改行;BYPASSRLS 可绕过。
PostgreSQL 同时提供内置默认角色用于常见运维与只读场景(例如监控与只读数据访问),以及安全默认(例如 RLS、默认 PUBLIC 权限等需按需收紧)。
注:不同主版本的默认角色集合略有差异,以下方案按当前主流版本(13+ 至 16)设计;在具体实例中请以 \du 或查询 pg_roles/pg_authid 实际核验。
标准角色列表
| 角色名 |
类型 |
可登录 |
关键权限/属性 |
适用范围/用途 |
| sysadmin_superuser |
系统(自定义) |
否 |
SUPERUSER, CREATEROLE, CREATEDB, REPLICATION, BYPASSRLS |
集群全域管理,仅限极少数平台管理员。日常业务禁用此角色。 |
| role_admin |
系统(自定义) |
否 |
CREATEROLE(可管理角色/成员关系,非 SUPERUSER) |
安全/账号管理,原则上不接触业务数据。 |
| db_creator |
系统(自定义) |
否 |
CREATEDB |
建库职责,与 role_admin 职责分离。 |
| monitor_readonly |
系统(自定义聚合) |
否 |
成员包含:pg_monitor, pg_read_all_settings, pg_read_all_stats, pg_stat_scan_tables |
统一的监控只读聚合角色,不触达业务数据内容。 |
| backup_operator |
系统(自定义) |
否 |
REPLICATION;按需加入 pg_read_all_data(逻辑备份) |
备份账号:物理备份用 REPLICATION;逻辑备份(pg_dump 全库)可授予读取权限。 |
| file_ops_restricted |
系统(自定义) |
否 |
可选加入:pg_read_server_files / pg_write_server_files / pg_execute_server_program |
极少数场景需要读/写服务器文件或执行外部程序,默认不授予业务。 |
| replication_sender |
系统(自定义) |
否 |
REPLICATION |
物理复制账号,用于流复制/归档。 |
| auditor_metadata |
系统(自定义) |
否 |
成员包含:pg_read_all_settings, pg_read_all_stats |
合规模块/审计仅查看系统设置与统计元数据,不看业务行数据。 |
| app_owner_ |
业务(每应用) |
否 |
业务对象拥有者(数据库对象OWNER),可设默认权限 |
应用对象所有者,不登录;用于统一授予/回收默认权限。 |
| app_ddl_ |
业务(每应用) |
否 |
在特定 schema 上 CREATE/ALTER/INDEX 权限(通过所有权/授权实现) |
应用内 DDL 管理(无 SUPERUSER),限域到本应用 schema。 |
| app_rw_ |
业务(每应用) |
否 |
对本应用 schema 内表:SELECT/INSERT/UPDATE/DELETE;对序列:USAGE, UPDATE;函数:EXECUTE |
应用服务写角色(DML),无 DDL。 |
| app_ro_ |
业务(每应用) |
否 |
对本应用 schema 内表:SELECT;对序列:SELECT(如需读 currval),函数:EXECUTE(仅读函数) |
只读访问,用于报表/查询。 |
| reporting_analyst |
业务(横向) |
否 |
对指定只读数据域 SELECT;对专用报表 schema 具备 CREATE |
报表分析,允许在沙箱 schema 中建视图/物化视图。 |
| login_rw_ |
业务登录(每应用) |
是 |
INHERIT 成员:app_rw_;限定连接、search_path 等 |
应用生产写入账号(登录)。 |
| login_ro_ |
业务登录(每应用) |
是 |
INHERIT 成员:app_ro_;限定连接、search_path 等 |
应用/报表只读账号(登录)。 |
内置默认角色(参考,按需纳入上述聚合角色):
- pg_monitor:读取常用监控视图,并可访问 pg_stat_* 等。
- pg_read_all_settings:读取所有服务器配置。
- pg_read_all_stats:读取所有统计信息。
- pg_stat_scan_tables:允许手动 ANALYZE/统计扫描相关访问(只读维度)。
- pg_read_all_data:跨库读取所有表/视图数据(谨慎使用)。
- pg_write_all_data:跨库写所有表/视图数据(极高风险,严禁用于业务)。
- pg_read_server_files / pg_write_server_files / pg_execute_server_program:访问服务器文件或执行外部程序,默认不授予业务。
- pg_signal_backend:允许对其他后端发送信号(仅运维场景)。
- pg_database_owner:特殊占位角色,代表“当前数据库的拥有者”(不可显式授予,用于 ACL/默认权限解析)。
各角色详细权限说明
- sysadmin_superuser
- 范围:集群全域。仅少量平台管理员使用,不用于任何应用。
- 能力:所有操作(SUPERUSER),包含 BYPASSRLS、REPLICATION、CREATEDB/CREATEROLE。
- 管控:默认 NOLOGIN;需要操作时临时赋予或通过安全变更窗口执行。
- role_admin
- 范围:集群级角色管理。
- 能力:CREATEROLE,可 CREATE/ALTER/DROP ROLE,管理成员关系;不可 SUPERUSER。
- 限制:无业务对象访问权限;与数据访问职责解耦。
- db_creator
- 范围:创建数据库。
- 能力:CREATEDB。
- 限制:创建后不自动获得库内对象权限;库内权限另行授权。
- monitor_readonly(聚合)
- 组成:pg_monitor + pg_read_all_settings + pg_read_all_stats + pg_stat_scan_tables。
- 用途:监控系统视图、统计与参数;不读取业务表数据。
- 限制:不具备 CONNECT 所需目标库授权时无法连接目标库;需按库授予 CONNECT/TEMP。
- backup_operator
- 物理备份:REPLICATION 属性即可通过流复制协议执行 pg_basebackup(配合 pg_hba.conf)。
- 逻辑备份:如需 pg_dump 全库,授予对应库的 SELECT/USAGE 权限,或将其加入 pg_read_all_data(谨慎,强只读)。
- 限制:不授予写权限;与 replication_sender 职责可合并或分离。
- file_ops_restricted
- 能力:按需加入 pg_read_server_files(COPY FROM FILE)、pg_write_server_files(COPY TO FILE)、pg_execute_server_program(COPY PROGRAM)。
- 注意:高风险,仅在受控环境短期赋权,审计到位。
- replication_sender
- 能力:REPLICATION;用于 wal sender。
- 配置:pg_hba.conf 添加 replication 连接条目;与备份口令分离存放。
- auditor_metadata
- 能力:读取参数与统计,不读业务行数据。
- 用途:合规/审计只看元数据场景。
- app_owner_
- 作用:应用 schema 与对象 OWNER;负责设定默认权限(ALTER DEFAULT PRIVILEGES)。
- 限制:NOLOGIN;避免被滥用执行 DML。
- app_ddl_
- 能力:在指定 schema 上 CREATE 对象(表/索引/视图/函数等);可通过所有权或 GRANT 实现 ALTER/INDEX 等。
- 限制:不对其他应用 schema 具备任何权限。
- app_rw_
- 能力:对应用 schema 内所有表 SELECT/INSERT/UPDATE/DELETE;对序列 USAGE, UPDATE;对函数 EXECUTE(限定名单)。
- 限制:无 DDL;无跨 schema 权限。
- app_ro_
- 能力:对应用 schema 内所有表 SELECT;序列如需读取当前值授予 SELECT(不授予 USAGE 以避免 nextval)。
- 限制:无写入;无 DDL。
- reporting_analyst
- 能力:对只读数据域(如 data_mart)SELECT;对 reporting schema 具备 CREATE,用于自建视图/物化视图与临时表。
- 限制:不直接访问原始交易表,避免业务影响。
- login_rw_ / login_ro_
- 能力:LOGIN;通过 INHERIT 接收 app_rw/app_ro 权限。
- 安全:限制连接库、设置 search_path、statement_timeout、lock_timeout、work_mem 等。
权限配置建议
以下以应用名 demo 为样例(请替换 , , 等占位符)。
- 基础安全收敛(建议在建库后立即执行)
-- 收紧 public schema 默认 CREATE 权限
REVOKE CREATE ON SCHEMA public FROM PUBLIC;
-- 收紧数据库级默认连接(按需)
REVOKE ALL ON DATABASE demo FROM PUBLIC;
GRANT CONNECT, TEMP ON DATABASE demo TO role_admin, monitor_readonly; -- 示例
- 创建业务角色骨架
-- 业务所有者与功能角色(NOLOGIN)
CREATE ROLE app_owner_demo NOLOGIN;
CREATE ROLE app_ddl_demo NOLOGIN;
CREATE ROLE app_rw_demo NOLOGIN;
CREATE ROLE app_ro_demo NOLOGIN;
-- 登录角色
CREATE ROLE login_rw_demo LOGIN PASSWORD '***' INHERIT;
CREATE ROLE login_ro_demo LOGIN PASSWORD '***' INHERIT;
-- 绑定继承关系
GRANT app_rw_demo TO login_rw_demo;
GRANT app_ro_demo TO login_ro_demo;
- Schema 与对象所有权
-- 创建/迁移应用 schema 并指定所有者
CREATE SCHEMA demo AUTHORIZATION app_owner_demo;
-- 允许 DDL 角色在 demo schema 内创建对象
GRANT USAGE, CREATE ON SCHEMA demo TO app_ddl_demo;
-- 只读/读写角色使用 schema(USAGE)
GRANT USAGE ON SCHEMA demo TO app_rw_demo, app_ro_demo;
-- 授予应用库连接
GRANT CONNECT, TEMP ON DATABASE demo TO app_rw_demo, app_ro_demo;
- 现有对象授权(一次性)
-- 表与视图
GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA demo TO app_rw_demo;
GRANT SELECT ON ALL TABLES IN SCHEMA demo TO app_ro_demo;
-- 序列(PG14+:USAGE=nextval,SELECT=currval/lastval)
GRANT USAGE, UPDATE ON ALL SEQUENCES IN SCHEMA demo TO app_rw_demo;
GRANT SELECT ON ALL SEQUENCES IN SCHEMA demo TO app_ro_demo;
-- 函数(按需筛选)
GRANT EXECUTE ON ALL FUNCTIONS IN SCHEMA demo TO app_rw_demo, app_ro_demo;
- 默认权限(确保未来新对象自动继承)
注意:必须由“对象所有者”执行(即 app_owner_demo)。
-- 为未来在 demo schema 中由所有者创建的对象设默认权限
ALTER DEFAULT PRIVILEGES FOR ROLE app_owner_demo IN SCHEMA demo
GRANT SELECT, INSERT, UPDATE, DELETE ON TABLES TO app_rw_demo;
ALTER DEFAULT PRIVILEGES FOR ROLE app_owner_demo IN SCHEMA demo
GRANT SELECT ON TABLES TO app_ro_demo;
ALTER DEFAULT PRIVILEGES FOR ROLE app_owner_demo IN SCHEMA demo
GRANT USAGE, UPDATE ON SEQUENCES TO app_rw_demo;
ALTER DEFAULT PRIVILEGES FOR ROLE app_owner_demo IN SCHEMA demo
GRANT SELECT ON SEQUENCES TO app_ro_demo;
ALTER DEFAULT PRIVILEGES FOR ROLE app_owner_demo IN SCHEMA demo
GRANT EXECUTE ON FUNCTIONS TO app_rw_demo, app_ro_demo;
-- 若允许 DDL 由 app_ddl_demo 创建对象,也需为其创建的对象设置默认权限
ALTER DEFAULT PRIVILEGES FOR ROLE app_ddl_demo IN SCHEMA demo
GRANT SELECT, INSERT, UPDATE, DELETE ON TABLES TO app_rw_demo;
ALTER DEFAULT PRIVILEGES FOR ROLE app_ddl_demo IN SCHEMA demo
GRANT SELECT ON TABLES TO app_ro_demo;
ALTER DEFAULT PRIVILEGES FOR ROLE app_ddl_demo IN SCHEMA demo
GRANT USAGE, UPDATE ON SEQUENCES TO app_rw_demo;
ALTER DEFAULT PRIVILEGES FOR ROLE app_ddl_demo IN SCHEMA demo
GRANT SELECT ON SEQUENCES TO app_ro_demo;
ALTER DEFAULT PRIVILEGES FOR ROLE app_ddl_demo IN SCHEMA demo
GRANT EXECUTE ON FUNCTIONS TO app_rw_demo, app_ro_demo;
- 监控、备份与审计角色
-- 聚合监控角色由实例管理员一次性配置
CREATE ROLE monitor_readonly NOLOGIN;
GRANT pg_monitor, pg_read_all_settings, pg_read_all_stats, pg_stat_scan_tables TO monitor_readonly;
-- 按库授予连接(如需)
GRANT CONNECT ON DATABASE demo TO monitor_readonly;
-- 备份(物理)
CREATE ROLE backup_operator NOLOGIN REPLICATION;
-- 备份(逻辑全库,谨慎)
GRANT pg_read_all_data TO backup_operator; -- 或针对目标库/Schema 精细授权
-- 审计仅元数据
CREATE ROLE auditor_metadata NOLOGIN;
GRANT pg_read_all_settings, pg_read_all_stats TO auditor_metadata;
- 连接与会话安全基线
-- 限制登录角色可连接的数据库
ALTER ROLE login_rw_demo IN DATABASE demo SET search_path = 'demo,public';
ALTER ROLE login_ro_demo IN DATABASE demo SET search_path = 'demo,public';
-- 会话级安全(示例)
ALTER ROLE login_rw_demo SET statement_timeout = '30s';
ALTER ROLE login_rw_demo SET lock_timeout = '5s';
ALTER ROLE login_ro_demo SET statement_timeout = '2m';
- 行级安全(RLS)示例(多租户/隔离场景)
-- 启用 RLS
ALTER TABLE demo.orders ENABLE ROW LEVEL SECURITY;
-- 示例策略:仅允许访问与当前设置的租户ID匹配的行
CREATE POLICY p_read_orders ON demo.orders
FOR SELECT
TO app_ro_demo, app_rw_demo
USING (tenant_id = current_setting('app.tenant_id')::int);
CREATE POLICY p_write_orders ON demo.orders
FOR INSERT, UPDATE, DELETE
TO app_rw_demo
USING (tenant_id = current_setting('app.tenant_id')::int)
WITH CHECK (tenant_id = current_setting('app.tenant_id')::int);
-- 会话进入时由中间件设置 app.tenant_id
-- 避免授予 BYPASSRLS(仅限超级管理员)
- 对公共 schema 的替代做法(如需完全禁用)
-- 可将 public schema 仅保留 USAGE,禁止 CREATE
REVOKE CREATE ON SCHEMA public FROM PUBLIC;
GRANT USAGE ON SCHEMA public TO PUBLIC;
安全注意事项
- 严禁在应用中使用 SUPERUSER、pg_write_all_data、pg_read_all_data 等高危全域角色。
- 默认收敛 PUBLIC 权限:至少 REVOKE public schema 的 CREATE;按需收紧数据库 CONNECT。
- 使用 NOLOGIN 的“聚合/组角色”承载权限,登录角色仅继承所需权限,便于审计与回收。
- 默认权限必须由对象所有者设置;对象所有者变更会影响后续默认权限的生效主体。
- GRANT ON ALL 仅作用于“现存对象”;务必配合 ALTER DEFAULT PRIVILEGES,或在 CI/CD 中补齐授权。
- RLS 生效后,确保中间件稳定设置隔离上下文(如 current_setting),谨慎使用 BYPASSRLS。
- 物理复制与物理备份需配置 pg_hba.conf 与专用网络隔离,备份口令与应用口令分离管理。
- 仅在严格受控场景下授予 pg_read/write_server_files 与 pg_execute_server_program,并保留审计。
- 变更流程:权限增/减需走变更审批并记录(谁、何时、为何、影响范围);定期(如季度)进行权限审计与收敛。
- 密码与登录安全:使用 SCRAM-SHA-256,强制密码轮换与到期;限制失败重试;可结合网络层 MFA/堡垒机。
最佳实践总结
- 架构化角色分层:系统管理(sysadmin/role_admin/db_creator/monitor/backup)、业务所有权(app_owner)、业务功能(app_ddl/app_rw/app_ro)、登录承载(login_*)。
- 最小权限原则:仅授予完成任务所需的对象级权限;分离所有权、DDL、DML、只读。
- 统一授权入口:通过 NOLOGIN 的组角色聚合权限,通过登录角色继承使用。
- 默认权限与自动化:结合 ALTER DEFAULT PRIVILEGES 与部署流水线,确保新对象自动获得正确授权。
- 收敛 PUBLIC:禁止在 public schema 创建对象;按需限制数据库 CONNECT。
- 审计与回收:建立定期巡检清单(高危角色成员、孤儿权限、跨 schema 访问),对不必要权限及时回收。
- RLS 与多租户:多租户/隔离需求优先采用 RLS 与策略,避免在应用层自行实现“过滤”。
- 备份/复制专用:备份与复制账号分离于业务账号;仅授予 REPLICATION 或必需只读权限。
- 监控最小暴露:监控账号使用 pg_monitor 等默认角色组合,不直接授予数据表读取。
- 版本核验:在目标实例通过 \du 和 pg_roles 校验默认角色可用性与权限差异,兼容团队内不同 PostgreSQL 主版本。
