Возможно, вопрос чайниковский, но все же.
Имею некую таблицу tbl_nail. Хочу сделать так, чтобы все пользователи НЕ могли просто так вставлять записи в эту таблицу, а должны были бы для этого использовать функцию new_nail.
Делаю следующее от имени владельца базы по имени vasya:

revoke INSERT on tbl_nail from public ;
grant EXECUTE on function new_nail to public ;

Теперь захожу как petya и говорю:

select new_nail ;

И получаю в ответ:

ERROR: доступ запрещен для связи tbl_nail

То есть оно требует наличия привилегии INSERT, даже если вставка выполняется не прямо INSERTом, а изнутри функции.

Это я что-то недокрутил, или это такая фича у PostgreSQL?
Если это фича, то как мне все-таки добиться своего?

Разобрался сам.
Нужно было создавать функцию с опцией SECURITY DEFINER, тогда функция будет работать с правами владельца функции.
По умолчанию функция создается с опцией SECURITY INVOKER и, соответственно, работает с правами вызывающего пользователя.