管理Schema

背景信息

Schema又称作模式。通过管理Schema，允许多个用户使用同一数据库而不相互干扰，可以将数据库对象组织成易于管理的逻辑组，同时便于将第三方应用添加到相应的Schema下而不引起冲突。 管理Schema包括：创建Schema、使用Schema、删除Schema、设置Schema的搜索路径以及Schema的权限控制。

注意事项

• 数据库集群包含一个或多个已命名数据库。用户和用户组在整个集群范围内是共享的，但是其数据并不共享。任何与服务器连接的用户都只能访问连接请求里声明的数据库。
• 一个数据库可以包含一个或多个已命名的Schema，Schema又包含表及其他数据库对象，包括数据类型、函数和操作符等。同一对象名可以在不同的Schema中使用而不会引起冲突。例如，schema1和schema2都可以包含一个名为mytable的表。
• 和数据库不同，Schema不是严格分离的。用户根据其对Schema的权限，可以访问所连接数据库的Schema中的对象。进行Schema权限管理首先需要对数据库的权限控制进行了解。
• 不能创建以PG_为前缀的Schema名，该类Schema名为数据库系统预留的。
• 在每次创建新用户时，系统会在当前登录的数据库中为新用户创建一个同名Schema。对于其他数据库，若需要同名Schema，则需要用户手动创建。
• 通过未修饰的表名（名称中只含有表名，没有“Schema名”）引用表时，系统会通过search_path（搜索路径）来判断该表是哪一个Schema下的表。pg_temp和pg_catalog始终会作为搜索路径顺序中的前两位，无论二者是否出现在search_path中，或者出现在search_path中的任何位置。search_path（搜索路径）是一个Schema名列表，在其中找到的第一个表就是目标表，如果没有找到则报错。（某个表即使存在，如果它的Schema不在search_path中，依然会查找失败）在搜索路径中的第一个Schema称为“当前Schema”，它是搜索时查询的第一个Schema，同时在没有声明Schema名时，新创建的数据库对象会默认存放在该Schema下。
• 每个数据库都包含一个pg_catalog Schema，它包含系统表和所有内置数据类型、函数和操作符。pg_catalog是搜索路径中的一部分，始终在临时表所属的模式后面，并在search_path中所有模式的前面，即具有第二搜索优先级，以确保可以搜索到数据库内置对象。以确保搜索到数据库内置对象。当用户需要创建与系统内置对象同名的自定义对象时，可以在该对象所属的Schema中执行操作，避免命名冲突。

创建Schema

使用Schema

在特定Schema下创建对象或者访问特定Schema下的对象，需要使用有Schema修饰的对象名。该名称包含Schema名以及对象名，Schema名和对象名之间用“.”分开。

• 执行如下命令在myschema下创建mytable表。

  1 2	gaussdb=# CREATE TABLE myschema.mytable(id int, name varchar(20)); CREATE TABLE

• 执行如下命令查询mySchema下mytable表的所有数据。

  1 2 3 4

  gaussdb=# SELECT * FROM myschema.mytable; id | name ----+------ (0 rows)

Schema的搜索路径

通过设置search_path配置参数可以定义数据库查找对象的Schema搜索顺序。搜索路径中的第一个Schema将被设为当前默认Schema。若创建对象时未显式指定所属Schema，系统会自动将其创建至默认Schema中。

• 执行如下命令查看搜索路径。

  1 2 3 4 5

  gaussdb=# SHOW search_path; search_path ---------------- "$user",public (1 row)

• 执行如下命令将搜索路径设置为mySchema, public，配置数据库的模式搜索顺序。系统将优先查找myschema，若未找到对应对象则继续搜索public。

  1 2	gaussdb=# SET search_path TO myschema, public; SET

Schema的权限控制

默认情况下，用户仅能访问其拥有的Schema内的数据库对象。若要访问其他Schema中的对象，需由目标Schema所有者授予对应USAGE权限。

通过将模式的CREATE权限授予某用户，被授权用户就可以在此模式中创建对象。默认情况下，所有角色都拥有在public模式上的usage权限，但是普通用户没有在public模式上的CREATE权限。普通用户具备连接指定数据库并在其public模式中创建对象的权限时，将产生安全风险。若已授予普通用户public模式的CREATE权限，建议执行以下语句撤销该权限。

• 撤销PUBLIC在public模式下创建对象的权限，下面语句中第一个“public”是模式，第二个“PUBLIC”指系统预定义的所有用户角色。

  1 2	gaussdb=# REVOKE CREATE ON SCHEMA public FROM PUBLIC; REVOKE

• 执行如下命令查看当前Schema。

  1 2 3 4 5

  gaussdb=# SELECT current_schema(); current_schema ---------------- myschema (1 row)

• 执行如下命令创建用户jack，并将myschema的usage权限授予用户jack。

  1 2 3 4

  gaussdb=# CREATE USER jack IDENTIFIED BY '********'; CREATE ROLE gaussdb=# GRANT USAGE ON SCHEMA myschema TO jack; GRANT

• 将用户jack对于myschema的usage权限收回。

  1 2	gaussdb=# REVOKE USAGE ON SCHEMA myschema FROM jack; REVOKE

删除Schema

1
2

gaussdb=# DROP USER jack;
DROP ROLE