TRẦN VĂN BÌNH MASTER: 6.Quản trị User, Role và Phân quyền trong PostgreSQL

Thứ Bảy, 31 tháng 5, 2025

6.Quản trị User, Role và Phân quyền trong PostgreSQL

✅ 1. Khái niệm Role và User

PostgreSQL không phân biệt “user” và “role” — tất cả đều là “roles”.
Một role có thể:
- Có hoặc không có quyền LOGIN
- Là superuser hoặc không
- Được cấp quyền cho schema, bảng, hoặc role khác

-- Tạo user:
CREATE ROLE dba WITH LOGIN PASSWORD 'dba@123';

-- Tạo nhóm không cho login:
CREATE ROLE readonly_group;

🧩 2. Phân loại Role

Loại Role	Mục đích
Login Role	Đăng nhập hệ thống
Group Role	Gom nhóm role, dùng để phân quyền
Superuser	Quản trị toàn quyền
Replication Role	Kết nối replication
Application Role	Gán quyền hạn chế cho từng app/module

🔐 3. Tạo User và Gán Quyền

-- Tạo user và cấp quyền kết nối:
CREATE USER analyst1 WITH PASSWORD 'pass123';
GRANT CONNECT ON DATABASE salesdb TO analyst1;

-- Gán quyền trong schema:
\c salesdb
GRANT USAGE ON SCHEMA public TO analyst1;
GRANT SELECT ON ALL TABLES IN SCHEMA public TO analyst1;

⚙️ 4. Gán quyền mặc định cho bảng mới (default privileges)

ALTER DEFAULT PRIVILEGES IN SCHEMA public
GRANT SELECT ON TABLES TO analyst1;

Điều này đảm bảo khi bảng mới được tạo, user đã có quyền mà không cần gán lại.

🧪 5. Các quyền phổ biến

Quyền SQL	Ý nghĩa
`CONNECT`	Cho phép kết nối database
`USAGE`	Truy cập schema
`SELECT`, `INSERT`, `UPDATE`, `DELETE`	Quyền thao tác dữ liệu
`EXECUTE`	Gọi hàm, thủ tục
`CREATE`	Tạo bảng, view, function...
`TEMP`	Tạo bảng tạm

🧰 6. Quản lý Role

-- Xem danh sách role:
\du
SELECT * FROM pg_roles;

-- Gán role cho role:
GRANT readonly_group TO analyst1;

-- Gỡ quyền:
REVOKE SELECT ON TABLE demo FROM analyst1;

Quyền gián tiếp: analyst1 có thể có quyền từ readonly_group nếu được gán

🔐 7. Phân quyền theo mô hình thực tế

Ví dụ phân quyền theo mô hình 3 nhóm:

Role	Quyền	Thành viên
`dba_admin`	SUPERUSER	`dba1`, `dba2`
`readonly_group`	SELECT ALL	`dev1`, `audit1`
`etl_group`	SELECT + INSERT	`etl_job`, `cron_app`

🔎 8. Kiểm tra quyền đã cấp

-- Xem quyền của role trên bảng:
SELECT grantee, privilege_type 
FROM information_schema.role_table_grants 
WHERE table_name='sales_data';

-- Xem quyền mặc định:
\ddp

📦 9. Bảo mật bổ sung

Không nên dùng superuser cho ứng dụng
Không dùng trust authentication trong production
Sử dụng pg_hba.conf để kiểm soát IP + user + phương thức xác thực

🧠 10. Kịch bản hay dùng

Tình huống	Lệnh
Gán SELECT toàn schema	`GRANT SELECT ON ALL TABLES IN SCHEMA public TO readonly_user;`
Gán quyền EXECUTE hàm	`GRANT EXECUTE ON FUNCTION process_data() TO app_role;`
Thu hồi toàn bộ	`REVOKE ALL ON ALL TABLES IN SCHEMA public FROM old_user;`

✅ Kết luận

Tổ chức quyền theo nhóm role giúp dễ quản lý
Không dùng superuser cho ứng dụng
Kết hợp với schema để phân vùng dữ liệu và chia quyền chặt chẽ
Phân quyền tốt = bảo mật tốt + dễ kiểm soát audit

=============================
Website không chứa bất kỳ quảng cáo nào, mọi đóng góp để duy trì phát triển cho website (donation) xin vui lòng gửi về STK 90.2142.8888 - Ngân hàng Vietcombank Thăng Long - TRAN VAN BINH
=============================
Nếu bạn không muốn bị AI thay thế và tiết kiệm 3-5 NĂM trên con đường trở thành DBA chuyên nghiệp hay làm chủ Database thì hãy đăng ký ngay KHOÁ HỌC ORACLE DATABASE A-Z ENTERPRISE, được Coaching trực tiếp từ tôi với toàn bộ bí kíp thực chiến, thủ tục, quy trình của gần 20 năm kinh nghiệm (mà bạn sẽ KHÔNG THỂ tìm kiếm trên Internet/Google) từ đó giúp bạn dễ dàng quản trị mọi hệ thống Core tại Việt Nam và trên thế giới, đỗ OCP.
- CÁCH ĐĂNG KÝ: Gõ (.) hoặc để lại số điện thoại hoặc inbox https://m.me/tranvanbinh.vn hoặc Hotline/Zalo 090.29.12.888
- Chi tiết tham khảo:
https://bit.ly/oaz_w
=============================
2 khóa học online qua video giúp bạn nhanh chóng có những kiến thức nền tảng về Linux, Oracle, học mọi nơi, chỉ cần có Internet/4G:
- Oracle cơ bản: https://bit.ly/admin_1200
- Linux: https://bit.ly/linux_1200
=============================
KẾT NỐI VỚI CHUYÊN GIA TRẦN VĂN BÌNH:
📧 Mail: binhoracle@gmail.com
☎️ Mobile/Zalo: 0902912888
👨 Facebook: https://www.facebook.com/BinhOracleMaster
👨 Inbox Messenger: https://m.me/101036604657441 (profile)
👨 Fanpage: https://www.facebook.com/tranvanbinh.vn
👨 Inbox Fanpage: https://m.me/tranvanbinh.vn
👨👩 Group FB: https://www.facebook.com/groups/DBAVietNam
👨 Website: https://www.tranvanbinh.vn
👨 Blogger: https://tranvanbinhmaster.blogspot.com
🎬 Youtube: https://www.youtube.com/@binhguru
👨 Tiktok: https://www.tiktok.com/@binhguru
👨 Linkin: https://www.linkedin.com/in/binhoracle
👨 Twitter: https://twitter.com/binhguru
👨 Podcast: https://www.podbean.com/pu/pbblog-eskre-5f82d6
👨 Địa chỉ: Tòa nhà Sun Square - 21 Lê Đức Thọ - Phường Mỹ Đình 1 - Quận Nam Từ Liêm - TP.Hà Nội

=============================
AI, trí tuệ nhân tạo, artificial intelligence, machine learning, deep learning, LLM, ChatGPT, DeepSeek, Grok, oracle tutorial, học oracle database, Tự học Oracle, Tài liệu Oracle 12c tiếng Việt, Hướng dẫn sử dụng Oracle Database, Oracle SQL cơ bản, Oracle SQL là gì, Khóa học Oracle Hà Nội, Học chứng chỉ Oracle ở đầu, Khóa học Oracle online,sql tutorial, khóa học pl/sql tutorial, học dba, học dba ở việt nam, khóa học dba, khóa học dba sql, tài liệu học dba oracle, Khóa học Oracle online, học oracle sql, học oracle ở đâu tphcm, học oracle bắt đầu từ đâu, học oracle ở hà nội, oracle database tutorial, oracle database 12c, oracle database là gì, oracle database 11g, oracle download, oracle database 19c, oracle dba tutorial, oracle tunning, sql tunning , oracle 12c, oracle multitenant, Container Databases (CDB), Pluggable Databases (PDB), oracle cloud, oracle security, oracle fga, audit_trail,oracle RAC, ASM, oracle dataguard, oracle goldengate, mview, oracle exadata, oracle oca, oracle ocp, oracle ocm , oracle weblogic, postgresql tutorial, mysql tutorial, mariadb tutorial, ms sql server tutorial, nosql, mongodb tutorial, oci, cloud, middleware tutorial, hoc solaris tutorial, hoc linux tutorial, hoc aix tutorial, unix tutorial, securecrt, xshell, mobaxterm, putty