begriffs open source - ai-pg/blob - full-docs/man7/ALTER_DEFAULT_PRIVILEGES.7

   1 '\" t
   2 .\"     Title: ALTER DEFAULT PRIVILEGES
   3 .\"    Author: The PostgreSQL Global Development Group
   4 .\" Generator: DocBook XSL Stylesheets vsnapshot <http://docbook.sf.net/>
   5 .\"      Date: 2025
   6 .\"    Manual: PostgreSQL 18.0 Documentation
   7 .\"    Source: PostgreSQL 18.0
   8 .\"  Language: English
   9 .\"
  10 .TH "ALTER DEFAULT PRIVILEGES" "7" "2025" "PostgreSQL 18.0" "PostgreSQL 18.0 Documentation"
  11 .\" -----------------------------------------------------------------
  12 .\" * Define some portability stuff
  13 .\" -----------------------------------------------------------------
  14 .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  15 .\" http://bugs.debian.org/507673
  16 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
  17 .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  18 .ie \n(.g .ds Aq \(aq
  19 .el       .ds Aq '
  20 .\" -----------------------------------------------------------------
  21 .\" * set default formatting
  22 .\" -----------------------------------------------------------------
  23 .\" disable hyphenation
  24 .nh
  25 .\" disable justification (adjust text to left margin only)
  26 .ad l
  27 .\" -----------------------------------------------------------------
  28 .\" * MAIN CONTENT STARTS HERE *
  29 .\" -----------------------------------------------------------------
  30 .SH "NAME"
  31 ALTER_DEFAULT_PRIVILEGES \- define default access privileges
  32 .SH "SYNOPSIS"
  33 .sp
  34 .nf
  35 ALTER DEFAULT PRIVILEGES
  36     [ FOR { ROLE | USER } \fItarget_role\fR [, \&.\&.\&.] ]
  37     [ IN SCHEMA \fIschema_name\fR [, \&.\&.\&.] ]
  38     \fIabbreviated_grant_or_revoke\fR
  39
  40 where \fIabbreviated_grant_or_revoke\fR is one of:
  41
  42 GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER | MAINTAIN }
  43     [, \&.\&.\&.] | ALL [ PRIVILEGES ] }
  44     ON TABLES
  45     TO { [ GROUP ] \fIrole_name\fR | PUBLIC } [, \&.\&.\&.] [ WITH GRANT OPTION ]
  46
  47 GRANT { { USAGE | SELECT | UPDATE }
  48     [, \&.\&.\&.] | ALL [ PRIVILEGES ] }
  49     ON SEQUENCES
  50     TO { [ GROUP ] \fIrole_name\fR | PUBLIC } [, \&.\&.\&.] [ WITH GRANT OPTION ]
  51
  52 GRANT { EXECUTE | ALL [ PRIVILEGES ] }
  53     ON { FUNCTIONS | ROUTINES }
  54     TO { [ GROUP ] \fIrole_name\fR | PUBLIC } [, \&.\&.\&.] [ WITH GRANT OPTION ]
  55
  56 GRANT { USAGE | ALL [ PRIVILEGES ] }
  57     ON TYPES
  58     TO { [ GROUP ] \fIrole_name\fR | PUBLIC } [, \&.\&.\&.] [ WITH GRANT OPTION ]
  59
  60 GRANT { { USAGE | CREATE }
  61     [, \&.\&.\&.] | ALL [ PRIVILEGES ] }
  62     ON SCHEMAS
  63     TO { [ GROUP ] \fIrole_name\fR | PUBLIC } [, \&.\&.\&.] [ WITH GRANT OPTION ]
  64
  65 GRANT { { SELECT | UPDATE }
  66     [, \&.\&.\&.] | ALL [ PRIVILEGES ] }
  67     ON LARGE OBJECTS
  68     TO { [ GROUP ] \fIrole_name\fR | PUBLIC } [, \&.\&.\&.] [ WITH GRANT OPTION ]
  69
  70 REVOKE [ GRANT OPTION FOR ]
  71     { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER | MAINTAIN }
  72     [, \&.\&.\&.] | ALL [ PRIVILEGES ] }
  73     ON TABLES
  74     FROM { [ GROUP ] \fIrole_name\fR | PUBLIC } [, \&.\&.\&.]
  75     [ CASCADE | RESTRICT ]
  76
  77 REVOKE [ GRANT OPTION FOR ]
  78     { { USAGE | SELECT | UPDATE }
  79     [, \&.\&.\&.] | ALL [ PRIVILEGES ] }
  80     ON SEQUENCES
  81     FROM { [ GROUP ] \fIrole_name\fR | PUBLIC } [, \&.\&.\&.]
  82     [ CASCADE | RESTRICT ]
  83
  84 REVOKE [ GRANT OPTION FOR ]
  85     { EXECUTE | ALL [ PRIVILEGES ] }
  86     ON { FUNCTIONS | ROUTINES }
  87     FROM { [ GROUP ] \fIrole_name\fR | PUBLIC } [, \&.\&.\&.]
  88     [ CASCADE | RESTRICT ]
  89
  90 REVOKE [ GRANT OPTION FOR ]
  91     { USAGE | ALL [ PRIVILEGES ] }
  92     ON TYPES
  93     FROM { [ GROUP ] \fIrole_name\fR | PUBLIC } [, \&.\&.\&.]
  94     [ CASCADE | RESTRICT ]
  95
  96 REVOKE [ GRANT OPTION FOR ]
  97     { { USAGE | CREATE }
  98     [, \&.\&.\&.] | ALL [ PRIVILEGES ] }
  99     ON SCHEMAS
 100     FROM { [ GROUP ] \fIrole_name\fR | PUBLIC } [, \&.\&.\&.]
 101     [ CASCADE | RESTRICT ]
 102
 103 REVOKE [ GRANT OPTION FOR ]
 104     { { SELECT | UPDATE }
 105     [, \&.\&.\&.] | ALL [ PRIVILEGES ] }
 106     ON LARGE OBJECTS
 107     FROM { [ GROUP ] \fIrole_name\fR | PUBLIC } [, \&.\&.\&.]
 108     [ CASCADE | RESTRICT ]
 109 .fi
 110 .SH "DESCRIPTION"
 111 .PP
 112 \fBALTER DEFAULT PRIVILEGES\fR
 113 allows you to set the privileges that will be applied to objects created in the future\&. (It does not affect privileges assigned to already\-existing objects\&.) Privileges can be set globally (i\&.e\&., for all objects created in the current database), or just for objects created in specified schemas\&.
 114 .PP
 115 While you can change your own default privileges and the defaults of roles that you are a member of, at object creation time, new object permissions are only affected by the default privileges of the current role, and are not inherited from any roles in which the current role is a member\&.
 116 .PP
 117 As explained in
 118 Section\ \&5.8, the default privileges for any object type normally grant all grantable permissions to the object owner, and may grant some privileges to
 119 PUBLIC
 120 as well\&. However, this behavior can be changed by altering the global default privileges with
 121 \fBALTER DEFAULT PRIVILEGES\fR\&.
 122 .PP
 123 Currently, only the privileges for schemas, tables (including views and foreign tables), sequences, functions, types (including domains), and large objects can be altered\&. For this command, functions include aggregates and procedures\&. The words
 124 FUNCTIONS
 125 and
 126 ROUTINES
 127 are equivalent in this command\&. (ROUTINES
 128 is preferred going forward as the standard term for functions and procedures taken together\&. In earlier PostgreSQL releases, only the word
 129 FUNCTIONS
 130 was allowed\&. It is not possible to set default privileges for functions and procedures separately\&.)
 131 .PP
 132 Default privileges that are specified per\-schema are added to whatever the global default privileges are for the particular object type\&. This means you cannot revoke privileges per\-schema if they are granted globally (either by default, or according to a previous
 133 \fBALTER DEFAULT PRIVILEGES\fR
 134 command that did not specify a schema)\&. Per\-schema
 135 REVOKE
 136 is only useful to reverse the effects of a previous per\-schema
 137 GRANT\&.
 138 .SS "Parameters"
 139 .PP
 140 \fItarget_role\fR
 141 .RS 4
 142 Change default privileges for objects created by the
 143 \fItarget_role\fR, or the current role if unspecified\&.
 144 .RE
 145 .PP
 146 \fIschema_name\fR
 147 .RS 4
 148 The name of an existing schema\&. If specified, the default privileges are altered for objects later created in that schema\&. If
 149 IN SCHEMA
 150 is omitted, the global default privileges are altered\&.
 151 IN SCHEMA
 152 is not allowed when setting privileges for schemas and large objects, since schemas can\*(Aqt be nested and large objects don\*(Aqt belong to a schema\&.
 153 .RE
 154 .PP
 155 \fIrole_name\fR
 156 .RS 4
 157 The name of an existing role to grant or revoke privileges for\&. This parameter, and all the other parameters in
 158 \fIabbreviated_grant_or_revoke\fR, act as described under
 159 \fBGRANT\fR(7)
 160 or
 161 \fBREVOKE\fR(7), except that one is setting permissions for a whole class of objects rather than specific named objects\&.
 162 .RE
 163 .SH "NOTES"
 164 .PP
 165 Use
 166 \fBpsql\fR(1)\*(Aqs
 167 \fB\eddp\fR
 168 command to obtain information about existing assignments of default privileges\&. The meaning of the privilege display is the same as explained for
 169 \fB\edp\fR
 170 in
 171 Section\ \&5.8\&.
 172 .PP
 173 If you wish to drop a role for which the default privileges have been altered, it is necessary to reverse the changes in its default privileges or use
 174 \fBDROP OWNED BY\fR
 175 to get rid of the default privileges entry for the role\&.
 176 .SH "EXAMPLES"
 177 .PP
 178 Grant SELECT privilege to everyone for all tables (and views) you subsequently create in schema
 179 myschema, and allow role
 180 webuser
 181 to INSERT into them too:
 182 .sp
 183 .if n \{\
 184 .RS 4
 185 .\}
 186 .nf
 187 ALTER DEFAULT PRIVILEGES IN SCHEMA myschema GRANT SELECT ON TABLES TO PUBLIC;
 188 ALTER DEFAULT PRIVILEGES IN SCHEMA myschema GRANT INSERT ON TABLES TO webuser;
 189 .fi
 190 .if n \{\
 191 .RE
 192 .\}
 193 .PP
 194 Undo the above, so that subsequently\-created tables won\*(Aqt have any more permissions than normal:
 195 .sp
 196 .if n \{\
 197 .RS 4
 198 .\}
 199 .nf
 200 ALTER DEFAULT PRIVILEGES IN SCHEMA myschema REVOKE SELECT ON TABLES FROM PUBLIC;
 201 ALTER DEFAULT PRIVILEGES IN SCHEMA myschema REVOKE INSERT ON TABLES FROM webuser;
 202 .fi
 203 .if n \{\
 204 .RE
 205 .\}
 206 .PP
 207 Remove the public EXECUTE permission that is normally granted on functions, for all functions subsequently created by role
 208 admin:
 209 .sp
 210 .if n \{\
 211 .RS 4
 212 .\}
 213 .nf
 214 ALTER DEFAULT PRIVILEGES FOR ROLE admin REVOKE EXECUTE ON FUNCTIONS FROM PUBLIC;
 215 .fi
 216 .if n \{\
 217 .RE
 218 .\}
 219 .sp
 220 Note however that you
 221 \fIcannot\fR
 222 accomplish that effect with a command limited to a single schema\&. This command has no effect, unless it is undoing a matching
 223 GRANT:
 224 .sp
 225 .if n \{\
 226 .RS 4
 227 .\}
 228 .nf
 229 ALTER DEFAULT PRIVILEGES IN SCHEMA public REVOKE EXECUTE ON FUNCTIONS FROM PUBLIC;
 230 .fi
 231 .if n \{\
 232 .RE
 233 .\}
 234 .sp
 235 That\*(Aqs because per\-schema default privileges can only add privileges to the global setting, not remove privileges granted by it\&.
 236 .SH "COMPATIBILITY"
 237 .PP
 238 There is no
 239 \fBALTER DEFAULT PRIVILEGES\fR
 240 statement in the SQL standard\&.
 241 .SH "SEE ALSO"
 242 \fBGRANT\fR(7), \fBREVOKE\fR(7)