Доброго дня!

Вот вроде все должно быть понятно, но в голове не укладывается. Помогите, пожалуйста

create role user1 login;
create role user2 login;

create role role_rw;
create role role_ro;

grant role_rw to user1;
grant role_ro to user2;

alter role user1 inherit;
alter role user2 inherit;

create schema schema1;

И хочется мне, чтобы по умолчанию все пользователи, имеющие роль role_ro, могли читать все создаваемые таблицы в схеме. А с ролью role_rw - имели все права.
Для этого есть alter default privileges

В документации есть FOR ROLE и IN SCHEMA - что в моем случае нужно использовать?

ALTER DEFAULT PRIVILEGES FOR ROLE role_ro in schema schema1 grant select ON tables to role_ro;
ALTER DEFAULT PRIVILEGES FOR ROLE role_rw in schema schema1 grant all privileges ON tables to role_rw;

ALTER DEFAULT PRIVILEGES IN SCHEMA schema1 GRANT select ON TABLES TO role_ro;
ALTER DEFAULT PRIVILEGES IN SCHEMA schema1 GRANT all privileges ON TABLES TO role_rw;

Или я изначально что-то упускаю?

Melkij,

Melkijfor role - это кто будет создавать объекты. И for role есть всегда, не бывает alter default privileges для кого угодно. Если вы не указали for role - подразумевается тот, кто этот alter default privileges вызвал.

т.е. т.к. создавать объекты в схеме будут только носители роли _rw, получится вот так?
ALTER DEFAULT PRIVILEGES FOR ROLE role_rw in schema schema1 grant select ON tables to role_ro;
ALTER DEFAULT PRIVILEGES FOR ROLE role_rw in schema schema1 grant all privileges ON tables to role_rw;

MelkijПоэтому для каждого пользователя, кто будет здесь что-то создавать, добавляете по отдельному alter default privileges.
А inherit не помогает наследовать права ролей?
Несколько пугает перспектива по каждому пользователю проходить с alter, т.к. предполагается наличие множества схем и множества пользователей с разделением прав...
Я просто сужу по опыту работы с терадатой. Там роли грантуются права на схему, пользователю грантуется роль. И все прокидывается прекрасно =)

Melkij, Maxim Boguk, vyegorov, большое спасибо за помощь!