30、数据库主要对象的访问权限管理

数据库主要对象的访问权限管理

1. 引言

在数据库管理中，操作系统权限和相应的 SQL 特权对用户访问重要数据库对象起着关键的控制作用。这些对象包括模式、表、视图、不同类型、存储过程、函数、包、程序和服务程序等。了解如何合理分配和管理这些权限，对于保障数据库的安全性和数据的有效使用至关重要。

2. 模式（Schemas）权限

• 访问对象的基本权限 ：要访问模式中的任何对象，用户配置文件必须对包含该对象的模式具有 *EXECUTE 权限。没有此权限，用户无法对该模式中的对象进行任何操作。而对对象实际允许的操作，还受用户对该特定对象的权限限制。
• 创建对象的权限 ：若要创建大多数类型的对象，用户配置文件至少需要对将包含该对象的模式具有 ADD 权限。所有 SQL 创建语句都要求对包含模式同时具有 EXECUTE 和 ADD 权限，CREATE ALIAS 和 CREATE DISTINCT TYPE 语句还需要对模式具有 READ 权限。
• 创建模式的权限 ：CREATE SCHEMA 语句可创建具有 EXCLUDE 公共权限（使用 SQL 命名）或由 QCRTAUT 系统值指定的公共权限（使用系统命名）的模式。通常，为模式指定 EXCLUDE 公共权限可提高安全性，这样只有明确授权的用户才能访问模式中的对象。需要注意的是，没有 SQL 语句可明确指定模式的特权，而必须使用 CL 命令来授予和撤销对相应模式对象的权限。