[pgsql-jp: 40239] Re: PL/pgSQLのソースコードを見せたくない

[恒住 武男]

返信有難うございます。



> ・「暗号化したスクリプトを実行する PL」を自作する。
>   PL/pgSQL をコピペして改変すれば、改造量自体は多くは無いとは思います。

私のイメージとしてはこの案の方です。
ソースをダウンロードしてみましたが、
気の長い話になりそうです。
10.0ぐらいを楽しみに待っておきます・・・。



> 9.0 をお楽しみに :-)
>     http://lets.postgresql.jp/documents/technical/9.0/1#security
>     GRANT/REVOKE ON ALL objects IN SCHEMA


テーブルが700強あるので助かります。
9.0を楽しみに待っておきます。








On Wed, 24 Mar 2010 14:46:25 +0900
Takahiro Itagaki <itagaki.takahiro ＠ oss.ntt.co.jp> wrote:

> 
> 恒住　武男 <tsunezumi ＠ efficlabo.com> wrote:
> 
> > 正式な方法があればよいのですが、
> > Oracleのwrapのような機能はないみたいですね。
> 
> 代案として思いついたものをお知らせしておきます。スーパーユーザにさえも
> 見せたくないならば、こういったアクセス制限以外の方式が必要になります。
> 
> ・暗号化したスクリプトを、普通のテーブル or 外部ファイルで用意しておき、
>   PL/pgSQL で読み込み、復号して動的SQLとして実行する。
> ・「暗号化したスクリプトを実行する PL」を自作する。
>   PL/pgSQL をコピペして改変すれば、改造量自体は多くは無いとは思います。
> 
> > 必ずテーブル単位でしか権限を与えれないのでしょうか？
> > 全テーブルのSELECT権限や特定のスキーマのテーブルのSELECT権限を特定のユーザに
> > 与えることはできないのでしょうか？
> 
> 9.0 をお楽しみに :-)
>     http://lets.postgresql.jp/documents/technical/9.0/1#security
>     GRANT/REVOKE ON ALL objects IN SCHEMA
> 
> 現行バージョンだと、システムカタログに対するクエリを、動的SQLの
> GRANT/REVOKE と組み合わせて使うことになります。残念ながら、
> GRANT/REVOKE のテーブル名の部分をプレースホルダ ($1 等) にはできません。
> 
>     FOR relid IN SELECT oid FROM pg_class ... LOOP
>         EXECUTE 'GRANT SELECT ON ' || relid::regclass || ' TO ...';
>     END LOOP;
> 
> ------------------------------------------------------------
> NTT オープンソース ソフトウェア センタ
> 板垣貴裕 <itagaki.takahiro ＠ oss.ntt.co.jp>
> 
>