Come posso creare un utente di sola lettura per i backup in PostgreSQL?

È vero che è IMPOSSIBILE creare un utente di backup di sola lettura in PostgreSQL?

Mi è stato consigliato su un canale IRC che semplicemente non puoi avere un utente solo di backup senza privilegi di proprietà. Lo trovo molto strano, quindi voglio assicurarmi che non mi manchi qualcosa.

Di seguito è quello che ho provato, ma non mi dà i risultati che sto cercando. Quando lo faccio pg_dumpsu un determinato tavolo ricevo Permission denied for relation...:

GRANT SELECT ON ALL TABLES IN SCHEMA public TO backup; 
ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT ON TABLES TO backup; 
GRANT SELECT, USAGE ON ALL SEQUENCES IN SCHEMA public TO backup;
ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT, USAGE ON SEQUENCES TO backup;

Qualsiasi aiuto sarebbe molto apprezzato!

No, è facile (ora comunque).

1. Concedere l'autorizzazione di connessione per un nuovo utente

   GRANT CONNECT ON DATABASE mydb TO myReadolyUser;

2. Concedere le autorizzazioni per tutti gli oggetti di database correnti . Questo è specifico dello schema e dovrai eseguire una copia per ogni schema che desideri che il tuo utente possa utilizzare,

   GRANT SELECT ON ALL TABLES IN SCHEMA mySchema TO myReadonlyUser;

   Dai documenti , ALL TABLESinclude tutto ciò che desideri.

   C'è anche un'opzione per concedere i privilegi su tutti gli oggetti dello stesso tipo all'interno di uno o più schemi. Questa funzionalità è attualmente supportata solo per tabelle, sequenze e funzioni (ma nota che TUTTE LE TABELLE sono considerate includere viste e tabelle esterne.

3. Quindi ALTER DEFAULT PRIVLEGESconcedere privilegi futuri SELECT per oggetti non ancora creati.

   ALTER DEFAULT PRIVILEGES IN SCHEMA mySchema
   GRANT SELECT ON TABLES TO myReadonlyUser;

Il modo semplice e piacevole è quello di creare un superutente con autorizzazione di sola lettura.

• Accesso psql come postgres o altro superutente.

• Crea il nuovo ruolo di superutente e impostalo in sola lettura:

  CREATE USER backadm SUPERUSER  password '<PASS>';
  ALTER USER backadm set default_transaction_read_only = on;

  • Sostituire <PASS> con la password scelta.
  • Puoi sostituirlo backadmcon il nome utente scelto. (Ho messo backadmperBackup Administrator ).
  • NON dimenticare le virgolette singole per la password.

È ora possibile utilizzare questo ruolo per il backup.

Nota che il blog a cui fa riferimento la risposta data da @Gyre non funzionerà per la creazione di un utente di sola lettura "applicazione" (ovvero per la creazione di un ruolo di sola lettura per un'applicazione Web da connettere al database) e potrebbe aprire un serio vulnerabilità della sicurezza, poiché è facilmente aggirabile, come spiegato in questa risposta all'elenco postgresql . Per riferimento, dal client sovrascrivendo le impostazioni della sessione:

SET SESSION CHARACTERISTICS AS TRANSACTION READ WRITE

Fai riferimento alla presentazione "Gestione dei diritti in postgresql" collegata nella wiki di postgres per un metodo più dettagliato, simile a quello pubblicato nella domanda.

Dopo aver testato il backup con la soluzione di Evan Caroll, ho riscontrato questo errore:

ERRORE: autorizzazione negata per la relazione 'tabella'

manca un'altra autorizzazione:

GRANT SELECT ON ALL SEQUENCES IN SCHEMA mySchema TO myReadonlyUser

L'aggiunta di questa autorizzazione mi ha permesso di eseguire il backup con il mio utente di sola lettura.

Ho fatto delle ricerche adeguate e sembra che ci sia una soluzione per questo. Mi sono imbattuto in questo post sul blog che spiega perfettamente cosa bisogna fare. Spero che questo aiuti alle persone che stanno cercando la stessa mia risposta. Ovviamente, il ripristino dei backup eseguiti in questo modo è una domanda diversa.