Оператор REVOKE

Отзывает привилегии у пользователей или ролей.

Синтаксис

Отмена привилегий для пользователей

REVOKE [ON CLUSTER cluster_name] privilege[(column_name [,...])] [,...] ON {db.table|db.*|*.*|table|*} FROM {user | CURRENT_USER} [,...] | ALL | ALL EXCEPT {user | CURRENT_USER} [,...]

Отзыв ролей у пользователей

OTMENITЬ [ON CLUSTER cluster_name] [ADMIN OPTION FOR] role [,...] FROM {user | role | CURRENT_USER} [,...] | ALL | ALL EXCEPT {user_name | role_name | CURRENT_USER} [,...]

Описание

Чтобы отозвать какую‑либо привилегию, вы можете использовать привилегию более широкого уровня, чем та, которую планируете отозвать. Например, если у пользователя есть привилегия SELECT (x,y), администратор может выполнить запрос REVOKE SELECT(x,y) ..., или REVOKE SELECT * ..., или даже REVOKE ALL PRIVILEGES ..., чтобы отозвать эту привилегию.

Частичный отзыв привилегий

Вы можете отозвать часть привилегии. Например, если у пользователя есть привилегия SELECT *.*, вы можете отозвать у него привилегию на чтение данных из некоторой таблицы или базы данных.

Примеры

Предоставьте учётной записи пользователя john привилегию SELECT для всех баз данных, кроме базы данных accounts:

GRANT SELECT ON *.* TO john;
REVOKE SELECT ON accounts.* FROM john;

Предоставьте пользователю mira привилегию на выборку данных из всех столбцов таблицы accounts.staff, кроме столбца wage.

GRANT SELECT ON accounts.staff TO mira;
REVOKE SELECT(wage) ON accounts.staff FROM mira;

Оригинал статьи