사용자 및 그룹 액세스 제어 예
이 예는 사용자 그룹과 사용자를 만든 다음 이들에게 웹 애플리케이션 클라이언트에 연결되는 Amazon Redshift 데이터베이스에 대한 권한을 부여합니다. 이 예에서는 웹 애플리케이션 일반 사용자, 웹 애플리케이션 파워 유저, 웹 개발자 등 세 가지 사용자 그룹을 가정합니다.
-
사용자가 할당될 그룹을 만듭니다. 다음 명령 세트는 세 가지 사용자 그룹을 만듭니다.
create group webappusers; create group webpowerusers; create group webdevusers;
-
권한이 서로 다른 몇몇 데이터베이스 사용자를 만들어 그룹에 추가합니다.
-
두 명의 사용자를 만들어 WEBAPPUSERS 그룹에 추가합니다.
create user webappuser1 password 'webAppuser1pass' in group webappusers; create user webappuser2 password 'webAppuser2pass' in group webappusers;
-
웹 개발자용 계정을 만들어 WEBDEVUSERS 그룹에 추가합니다.
create user webdevuser1 password 'webDevuser2pass' in group webdevusers;
-
슈퍼 사용자를 생성합니다. 이 사용자는 다른 사용자를 생성하는 관리 권한을 갖습니다.
create user webappadmin password 'webAppadminpass1' createuser;
-
-
웹 애플리케이션이 사용하는 데이터베이스 테이블에 연결될 스키마를 생성해 다양한 사용자 그룹에게 이 스키마에 액세스할 권한을 부여합니다.
-
WEBAPP 스키마를 생성합니다.
create schema webapp;
-
WEBAPPUSERS 그룹에 USAGE 권한을 부여합니다.
grant usage on schema webapp to group webappusers;
-
WEBPOWERUSERS 그룹에 USAGE 권한을 부여합니다.
grant usage on schema webapp to group webpowerusers;
-
WEBDEVUSERS 그룹에 ALL 권한을 부여합니다.
grant all on schema webapp to group webdevusers;
기본적인 사용자 및 그룹이 이제 설정되었습니다. 이제 사용자와 그룹을 변경할 수 있습니다.
-
-
예를 들어 다음 명령은 WEBAPPUSER1의 search_path 파라미터를 변경합니다.
alter user webappuser1 set search_path to webapp, public;
SEARCH_PATH는 테이블과 함수 같은 데이터베이스 객체를 스키마가 지정되지 않은 단순한 이름으로 참조할 때 객체에 대한 스키마 검색 순서를 지정합니다.
-
그룹을 만든 후 사용자를 그룹에 추가할 수 있습니다. 예를 들어 WEBAPPUSER2를 WEBPOWERUSERS 그룹에 추가할 수 있습니다.
alter group webpowerusers add user webappuser2;