REVOKE

Команда REVOKE позволяет отозвать права доступа к объектам схемы для пользователей или групп пользователей.

Синтаксис:

REVOKE [GRANT OPTION FOR] {{permission_name} [, ...] | ALL [PRIVILEGES]} ON {path_to_scheme_object [, ...]} FROM {role_name [, ...]}

permission_name - имя права доступа к объектам схемы, которое нужно отозвать.
path_to_scheme_object - путь до объекта схемы, с которого отзываются права.
role_name - имя пользователя или группы, для которого отзываются права на объект схемы.

GRANT OPTION FOR - использование этой конструкции отзывает у пользователя или группы право управлять правами доступа. Все ранее выданные этим пользователем права остаются в силе. Конструкция имеет функцианальность аналогичную отзыву права "ydb.access.grant" или GRANT.

Права доступа

В качестве имен прав доступа можно использовать специфичные для YDB права или соответствующие им ключевые слова. В таблице ниже перечислены возможные имена прав и соответствующие им ключевые слова.
Нужно заметить, что специфичные для YDB права задаются как строки и должны заключаться в одинарные или двойные кавычки.

YDB право	Ключевое слово
`"ydb.database.connect"`	`CONNECT`
`"ydb.tables.modify"`	`MODIFY TABLES`
`"ydb.tables.read"`	`SELECT TABLES`
`"ydb.generic.list"`	`LIST`
`"ydb.generic.read"`	`SELECT`
`"ydb.generic.write"`	`INSERT`
`"ydb.access.grant"`	`GRANT`
`"ydb.generic.use"`	`USE`
`"ydb.generic.use_legacy"`	`USE LEGACY`
`"ydb.database.create"`	`CREATE`
`"ydb.database.drop"`	`DROP`
`"ydb.generic.manage"`	`MANAGE`
`"ydb.generic.full"`	`FULL`
`"ydb.generic.full_legacy"`	`FULL LEGACY`
`"ydb.granular.select_row"`	`SELECT ROW`
`"ydb.granular.update_row"`	`UPDATE ROW`
`"ydb.granular.erase_row"`	`ERASE ROW`
`"ydb.granular.read_attributes"`	`SELECT ATTRIBUTES`
`"ydb.granular.write_attributes"`	`MODIFY ATTRIBUTES`
`"ydb.granular.create_directory"`	`CREATE DIRECTORY`
`"ydb.granular.create_table"`	`CREATE TABLE`
`"ydb.granular.create_queue"`	`CREATE QUEUE`
`"ydb.granular.remove_schema"`	`REMOVE SCHEMA`
`"ydb.granular.describe_schema"`	`DESCRIBE SCHEMA`
`"ydb.granular.alter_schema"`	`ALTER SCHEMA`

ALL [PRIVILEGES] - используется для указания всех возможных прав на объекты схемы для пользователей или групп. PRIVILEGES является необязательным ключевым словом, необходимым для совместимости с SQL стандартом.

Примеры

Отозвать право ydb.generic.read на таблицу /shop_db/orders у пользователя user1:
```
REVOKE 'ydb.generic.read' ON `/shop_db/orders` FROM user1;
```
Та же команда, с использованием ключевого слова
```
REVOKE SELECT ON `/shop_db/orders` FROM user1;
```
Отозвать права ydb.database.connect, ydb.generic.list на корень базы /shop_db у пользователя user2 и группы group1:
```
REVOKE LIST, CONNECT ON `/shop_db` FROM user2, group1;
```
Отозвать право ydb.generic.use на таблицы /shop_db/orders и /shop_db/sellers у пользователей user1@domain, user2@domain:
```
REVOKE 'ydb.generic.use' ON `/shop_db/orders`, `/shop_db/sellers` FROM `user1@domain`, `user2@domain`;
```
Отозвать все права на таблицу /shop_db/sellers для пользователя user:
```
REVOKE ALL ON `/shop_db/sellers` FROM user;
```

REVOKE

Права доступа

Примеры

Была ли статья полезна?