Skip to content

Commit

Permalink
update user-manag for 17.0
Browse files Browse the repository at this point in the history
  • Loading branch information
@koizumistr
koizumistr committed Feb 10, 2025
1 parent 7be0c3c commit 6d11eba
Showing 1 changed file with 5 additions and 10 deletions.
15 changes: 5 additions & 10 deletions doc/src/sgml/user-manag.sgml
View file
Original file line number Diff line number Diff line change
Expand Up @@ -540,12 +540,12 @@ ALTER ROLE myname SET enable_indexscan TO off;
users have <literal>ADMIN OPTION</literal> on a role at any given time
can administer it.
-->
《マッチ度[95.462280]》非スーパーユーザが<literal>CREATEROLE</literal>権限を使用してロールを作成すると、作成されたロールは自動的に作成元のユーザに再度付与されます。これは、ブートストラップスーパーユーザがコマンド<literal>GRANT created_user TO creating_user WITH ADMIN OPTION, SET FALSE, INHERIT FALSE</literal>を実行した場合と同じです。
非スーパーユーザが<literal>CREATEROLE</literal>権限を使用してロールを作成すると、作成されたロールは自動的に作成元のユーザに再度付与されます。これは、ブートストラップスーパーユーザがコマンド<literal>GRANT created_user TO creating_user WITH ADMIN OPTION, SET FALSE, INHERIT FALSE</literal>を実行した場合と同じです。
<literal>CREATEROLE</literal>ユーザが、既存のロールに関して特別な権限を行使できるのは、そのロールに対する<literal>ADMIN OPTION</literal>権限がある場合のみですので、この権限は、<literal>CREATEROLE</literal>ユーザが作成したロールを管理するのに十分なだけです。
一方、<literal>INHERIT FALSE, SET FALSE</literal>で作成されたため、この<literal>CREATEROLE</literal>ユーザは作成されたロールの権限をデフォルトで継承していませんし、<literal>SET ROLE</literal>を使ってそのロールの権限にアクセスできません。
しかし、ロールに対する<literal>ADMIN OPTION</literal>を持つユーザは、そのロールのメンバシップを他のユーザに付与できるため、<literal>CREATEROLE</literal>ユーザは、そのロールを自分自身に<literal>INHERIT</literal>または<literal>SET</literal>オプションで付与するだけで、作成したロールへのアクセス権を獲得できます。
したがって、権限がデフォルトで継承されないこと、またはデフォルトで<literal>SET ROLE</literal>が付与されないことは、事故に対する安全策であり、セキュリティ機能ではありません。
また、この自動的な付与はブートストラップユーザによって与えられるため、<literal>CREATEROLE</literal>ユーザによって削除または変更することはできないことに注意してください。しかし、スーパーユーザはそれを取り消したり、修正したり、他の<literal>CREATEROLE</literal>ユーザに対してそのようなグラントを追加したりすることができます。
また、この自動的な付与はブートストラップスーパーユーザによって与えられるため、<literal>CREATEROLE</literal>ユーザによって削除または変更することはできないことに注意してください。しかし、スーパーユーザはそれを取り消したり、修正したり、他の<literal>CREATEROLE</literal>ユーザに対してそのようなグラントを追加したりすることができます。
どの<literal>CREATEROLE</literal>ユーザも、ある時点でロールに対して<literal>ADMIN OPTION</literal>を持っているかどうかに関係なく、それを管理できます。
</para>
</sect1>
Expand Down Expand Up @@ -1062,14 +1062,9 @@ RLSが使われているのであれば、管理者はこのロールがGRANTさ
relations, as if having <literal>MAINTAIN</literal> rights on those
objects, even without having it explicitly.</entry>
-->
<entry>《機械翻訳》すべてのリレーションに対して
<link linkend="sql-vacuum"><command>VACUUM</command></link>、
<link linkend="sql-analyze"><command>ANALYZE</command></link>、
<link linkend="sql-cluster"><command>CLUSTER</command></link>、
<link linkend="sql-refreshmaterializedview"><command>REFRESH MATERIALIZED VIEW</command></link>、
<link linkend="sql-reindex"><command>REINDEX</command></link>、
および<link linkend="sql-lock"><command>LOCK TABLE</command></link>を実行することを許可します。
明示的に許可しなくても、これらのオブジェクトに対して<literal>MAINTAIN</literal>権限があるかのように実行できます。</entry>
<entry>
すべてのリレーションに対して<link linkend="sql-vacuum"><command>VACUUM</command></link>、<link linkend="sql-analyze"><command>ANALYZE</command></link>、<link linkend="sql-cluster"><command>CLUSTER</command></link>、<link linkend="sql-refreshmaterializedview"><command>REFRESH MATERIALIZED VIEW</command></link>、<link linkend="sql-reindex"><command>REINDEX</command></link>および<link linkend="sql-lock"><command>LOCK TABLE</command></link>を実行することを許可します。明示的に許可されていなくても、これらのオブジェクトに対して<literal>MAINTAIN</literal>権限があるかのように実行できます。
</entry>
</row>
<row>
<entry>pg_use_reserved_connections</entry>
Expand Down

0 comments on commit 6d11eba

Please sign in to comment.