db/00_create_roles.sql

-- =============================================================================
-- 00_create_roles.sql — создание 4 ролей PostgreSQL для Лидерры
-- =============================================================================
-- Версия: 1.0 (08.05.2026, фаза 1 backend multi-tenant фундамент)
-- Источник: schema.sql v8.5 §13 «Роли БД (CTO-5)» (закомментированные DDL)
-- =============================================================================
--
-- НАЗНАЧЕНИЕ: deployment-скрипт для production-окружения (Yandex Managed PG).
-- На **dev-машине** (этот скрипт) роли создавать НЕ требуется — schema.sql §13
-- разрешает использовать суперпользователя `postgres`. RLS-политики используют
-- `current_setting('app.current_tenant_id')::bigint` — работают для любого
-- пользователя БД (включая postgres).
--
-- ЗАПУСК (production):
--   psql -U postgres -h <host> -d postgres \
--     -v crm_app_password='<from-secrets>' \
--     -v crm_admin_password='<from-secrets>' \
--     -v crm_migrator_password='<from-secrets>' \
--     -v crm_audit_writer_password='<from-secrets>' \
--     -f db/00_create_roles.sql
--
-- ПОСЛЕ: запустить миграции под `crm_migrator` (BYPASSRLS, CREATEDB):
--   php artisan migrate --database=pgsql_migrator
--
-- ЗАТЕМ: запустить db/02_grants.sql под `crm_admin_user` (BYPASSRLS):
--   psql -U crm_admin_user -h <host> -d liderra -f db/02_grants.sql
--
-- ЗАВЕРШЕНИЕ: переключить .env приложения на `crm_app_user` (без BYPASSRLS).
-- =============================================================================

-- Роль приложения (tenant-уровень, RLS активна)
CREATE ROLE crm_app_user
    LOGIN
    PASSWORD :'crm_app_password';

-- Роль администрирования SaaS (BYPASSRLS для cross-tenant операций админки)
CREATE ROLE crm_admin_user
    LOGIN
    PASSWORD :'crm_admin_password'
    BYPASSRLS;

-- Роль миграций (BYPASSRLS + CREATEDB для structural changes)
CREATE ROLE crm_migrator
    LOGIN
    PASSWORD :'crm_migrator_password'
    BYPASSRLS
    CREATEDB;

-- Роль append-only audit-журналирования (только INSERT, UPDATE/DELETE
-- блокируются триггерами audit_block_mutation, см. schema.sql §14)
CREATE ROLE crm_audit_writer
    LOGIN
    PASSWORD :'crm_audit_writer_password';
phase1(backend): multi-tenant фундамент развёрнут — schema v8.5→v8.6 + migrate:fresh 2026-05-08 13:48:24 +03:00			`-- =============================================================================`
			`-- 00_create_roles.sql — создание 4 ролей PostgreSQL для Лидерры`
			`-- =============================================================================`
			`-- Версия: 1.0 (08.05.2026, фаза 1 backend multi-tenant фундамент)`
			`-- Источник: schema.sql v8.5 §13 «Роли БД (CTO-5)» (закомментированные DDL)`
			`-- =============================================================================`
			`--`
			`-- НАЗНАЧЕНИЕ: deployment-скрипт для production-окружения (Yandex Managed PG).`
			`-- На dev-машине (этот скрипт) роли создавать НЕ требуется — schema.sql §13`
			-- разрешает использовать суперпользователя `postgres`. RLS-политики используют
			-- `current_setting('app.current_tenant_id')::bigint` — работают для любого
			`-- пользователя БД (включая postgres).`
			`--`
			`-- ЗАПУСК (production):`
			`-- psql -U postgres -h <host> -d postgres \`
			`-- -v crm_app_password='<from-secrets>' \`
			`-- -v crm_admin_password='<from-secrets>' \`
			`-- -v crm_migrator_password='<from-secrets>' \`
			`-- -v crm_audit_writer_password='<from-secrets>' \`
			`-- -f db/00_create_roles.sql`
			`--`
			-- ПОСЛЕ: запустить миграции под `crm_migrator` (BYPASSRLS, CREATEDB):
			`-- php artisan migrate --database=pgsql_migrator`
			`--`
			-- ЗАТЕМ: запустить db/02_grants.sql под `crm_admin_user` (BYPASSRLS):
			`-- psql -U crm_admin_user -h <host> -d liderra -f db/02_grants.sql`
			`--`
			-- ЗАВЕРШЕНИЕ: переключить .env приложения на `crm_app_user` (без BYPASSRLS).
			`-- =============================================================================`

			`-- Роль приложения (tenant-уровень, RLS активна)`
			`CREATE ROLE crm_app_user`
			`LOGIN`
			`PASSWORD :'crm_app_password';`

			`-- Роль администрирования SaaS (BYPASSRLS для cross-tenant операций админки)`
			`CREATE ROLE crm_admin_user`
			`LOGIN`
			`PASSWORD :'crm_admin_password'`
			`BYPASSRLS;`

			`-- Роль миграций (BYPASSRLS + CREATEDB для structural changes)`
			`CREATE ROLE crm_migrator`
			`LOGIN`
			`PASSWORD :'crm_migrator_password'`
			`BYPASSRLS`
			`CREATEDB;`

			`-- Роль append-only audit-журналирования (только INSERT, UPDATE/DELETE`
			`-- блокируются триггерами audit_block_mutation, см. schema.sql §14)`
			`CREATE ROLE crm_audit_writer`
			`LOGIN`
			`PASSWORD :'crm_audit_writer_password';`