KINGBASE数据库角色管理

最新推荐文章于 2024-05-31 07:27:52 发布
最新推荐文章于 2024-05-31 07:27:52 发布
阅读量1.2k 收藏 18
点赞数 26
文章标签: 数据库 oracle 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/txy_1999/article/details/134949035
版权

管理角色

1. 关于角色

角色是一组权限的集合,使用角色让权限管理的工作更加简单有效。数据库管理员可以将角色授予用户或者其他角色,有创建角色(CREATE ROLE)的系统权限的用户可以将自己创建的角色授予给用户和其他角色。创建一个新的用户时,其默认角色为空,但可通过ALTER USER 指定该用户的默认角色。一个用户只能有一个默认角色。当该用户连接数据库时,自动激活该角色。当不再需要一个角色时,可以删除这个角色。

一个初始化的数据库系统总是包含一个预定义角色,默认是一个”superuser”,并且在默认情况下(除非在运行 initdb 时修改)角色的名字和初始化数据库集簇的操作系统用户相同。习惯上,这个角色将被命名为SYSTEM。若想创建更多角色,首先必须以初始角色的身份连接数据库。

每一个到数据库服务器的连接都是使用某个特定角色名建立的,并且这个角色决定发起连接的命令的初始访问权限。用于特定数据库连接的角色名称由以特定于应用程序的方式启动连接请求的客户端指示。例如,ksql程序使用-U命令行选项来指定以哪个角色连接。很多应用假定该名字默认是当前操作系统用户(包括createuser 和 ksql)。因此在角色和操作系统用户之间维护一个名字对应关系通常是很方便的。

一个给定客户端连接能够用来连接的数据库角色的集合由该客户端的认证设置决定,详见 用户的客户端认证 (因此,一个客户端不止限于以匹配其操作系统用户的角色连接,就像一个人的登录名不需要匹配他的真实名字一样)。因为角色身份决定一个已连接客户端可用的权限集合,在设置一个多用户环境时要小心地配置权限。

2. 安装预定义角色

KingbaseES提供了一组默认角色,它们提供对特定的、通常需要的、需要特权的功能和信息的访问。管理员可以把这些角色 GRANT 给其环境中的用户或者其他角色,让这些用户能够访问指定的功能和信息。

表 3.3.14 预定义角色

角色

描述

sys_read_all_settings

读取所有配置变量,甚至是那些通常只对超级用户可见的变量。

sys_read_all_stats

读取所有的sys_stat_*视图并且使用与扩展相关的各种统计信息,甚至是那些通常只对超级用户可见的信息。

sys_stat_scan_tables

执行可能会在表上取得 ACCESS SHARE 锁的监控函数(可能会持锁很长时间)。

sys_monitor

读取/执行各种监控视图和功能。这个角色是sys_read_all_settings 、sys_read_all_stats和sys_stat_scan_tables 的成员

sys_signal_backend

通知另一个后端取消查询或终止其会话.

sys_read_server_files

允许使用 COPY 以及其他文件访问函数从服务器上该数据库可访问的任意位置读取文件。

sys_write_server_files

允许使用COPY以及其他文件访问函数在服务器上该数据库可访问的任意位置中写入文件。

sys_execute_server_program

允许用运行该数据库的用户执行数据库服务器上的程序来配合 COPY 和其他允许执行服务器端程序的函数。

3. 创建角色

CREATE ROLE 向KingbaseES数据库集簇增加一个新的角色。创建角色必须具有 CREATEROLE特权或者成为 超级管理员。角色是定义在数据库集簇层面上的,并且因此在集簇中的所有数据库中都可用。例如:

CREATE ROLE name;
4. 角色授权类型

一个数据库角色可以有一些属性,它们定义角色的权限并且与客户端认证系统交互。

  • login privilege

    只有具有 LOGIN 或 ACCOUNT UNLOCK 属性的角色才能被用于一个数据库连接的初始角色名称。一个带有 LOGIN 或 ACCOUNT UNLOCK 属性的角色可以被认为和一个“数据库用户”相同。要创建一个带有登录权限的角色,使用三者之一:

    CREATE ROLE name LOGIN;
CREATE USER name;
CREATE USER name ACCOUNT UNLOCK;

(CREATE USER 和 CREATE ROLE 等效,除了 CREATE USER 默认假定有 LOGIN,而 CREATE ROLE 没有)。

  • superuser status

    一个数据库超级用户会绕开所有权限检查,除了登入的权限。这是一个危险的权限并且应该小心使用,最好用一个不是超级用户的角色来完成大部分工作,您必须作为一个超级用户来完成这些。要创建一个新数据库超级用户,使用:

    CREATE ROLE name SUPERUSER;

  • database creation

    一个角色必须被显式给予权限才能创建数据库(除了超级用户,因为它们会绕开所有权限检查)。要创建这样一个角色,使用:

    CREATE ROLE name CREATEDB;

  • role creation

    一个角色必须被显式给予权限才能创建更多角色(除了超级用户,因为它们会绕开所有权限检查)。要创建这样一个角色,使用

    CREATE ROLE name CREATEROLE;

    一个带有 CREATEROLE权限的角色也可以修改和删除其他角色,还可以授予或回收角色中的成员关系。然而,要创建、修改、删除或修改一个超级用户角色的成员关系,需要以超级用户的身份操作。CREATEROLE 不足以完成这一切。

  • initiating replication

    一个角色必须被显式给予权限才能发起流复制(除了超级用户,因为它们会绕开所有权限检查)。一个被用于流复制的角色必须也具有 LOGIN 权限。要创建这样一个角色,使用:

    CREATE ROLE name REPLICATION LOGIN;

  • password

    只有当客户端认证方法要求用户在连接数据库时提供一个口令时,一个口令才有意义。password 和 md5 认证方法使用口令。数据库口令与操作系统命令独立。在角色创建时指定一个口令:

    CREATE ROLE name PASSWORD “string“;
5. 修改角色

ALTER ROLE 更改一个KingbaseES角色的属性。数据库超级用户能够更改任何角色的任何这些设置。具有 CREATEROLE特权的角色能够更改任何这些设置,但是只能为非超级用户和非复制角色修改。普通角色只能更改它们自己的口令。示例如下:

更改一个角色的口令:

ALTER ROLE test WITH PASSWORD 'hu8jmn3';

让一个角色能够创建其他角色和新的数据库:

ALTER ROLE test CREATEROLE CREATEDB;

更改一个口令的失效日期,指定该口令应该在2015年5月4日中午(在一个比UTC快1小时的时区)过期:

ALTER ROLE test VALID UNTIL 'May 4 12:00:00 2015 +1';
6. 删除角色

DROP ROLE 删除一个数据库角色。删除角色需要注意以下几点:

  1. 删除一个数据库管理员角色,必须本身就是一个数据库管理员。

  2. 删除一个非数据库管理员角色,必须具有 CREATEROLE特权。

  3. 如果一个角色仍然被集簇中任何数据库中引用,它就不能被移除。如果尝试删除将会抛出一个错误。在删除该角色前,必须删除(或者重新授予所有权)它所拥有的所有对象并且收回该已经授予给该角色的在其他对象上的特权。

  4. 没有必要删除涉及该角色的角色成员关系。DROP ROLE 会自动收回目标角色在其他角色中的成员关系,以及其他角色在目标角色中的成员关系。其他角色不会被删除也不会被影响。

例如,要删除一个角色:

DROP ROLE test;
7. 角色启用禁用

在不删除角色的前提下,在本地库内使角色失效,使失效的角色再生效。详见插件 roledisable

7.1. 加载插件

修改 kingbase.conf 文件中 shared_preload_libraries 参数。

shared_preload_libraries = 'roledisable'
create extension roledisable;
7.2. 查看角色状态

SYSTEM 可以通过roledisable.sys_role_status视图来查看系统所有角色在当前库内的启用/禁用状态。

SELECT * FROM roledisable.sys_role_status;

字段说明

oid

角色在数据库内的ID。

rolename

角色在数据库内的名称。

status

角色的状态 Enable表示角色被启用,Disable 表示角色被禁用。

7.3. 启用角色

将角色设置为启用状态。

ALTER ROLE rolename ENABLE;

  • 执行权限: 需要以系统管理员权限执行,以非系统管理员执行时报告错误。

  • 角色要求:被启用的角色需事先存在。

  • 新建角色:新创建的角色默认为启用状态。

7.4. 禁用角色

将角色设置为禁用状态。

ALTER ROLE rolename DISABLE;

  • 执行权限:需要以系统管理员权限执行,以非系统管理员执行时报告错误。

  • 角色要求:被禁用的角色需事先存在。

  • 系统内置角色;系统内置角色无法被禁用。如初始化用户、sao、sso等无法被禁用。

7.5. 被禁用角色的表现

  • 当角色被禁用后,断开权限继承关系,不能从该角色直接和间接继承权限,间接使用被禁用角色的权限时应该报角色被禁用或权限错误。

  • SET ROLE 切换到被禁用的角色时报告错误。

  • 当会话使用的系统管理员角色被禁用时,因系统管理员绕过权限检查因此不会对其造成权限的影响。

  • 当前会话使用的非系统管理员角色被禁用时,被禁用角色对权限继承关系产生影响因缓存机制可能不会立即生效,当切换角色权限检查或重新登录后生效。

  • 角色在使用期间被禁用时,以被禁用角色(非系统管理员)执行需检查权限的操作时,报当前角色被禁用错误。

  • 角色被禁用状态下,可以修改角色权限和角色关系。如使用 GRANTREVOKE 对其操作,使用 ALTER ROLE 对其操作。

txy_1999
关注
KINGBASE数据库用户角色授权
txy_1999的博客
12-12 3207
如果指定了WITH ADMIN OPTION,成员接着可以把该角色中的成员关系授予给其他用户,也可以撤回该角色中的成员关系。例如,如果表t1 被角色g1 拥有,u1 是它的一个成员,那么u1 可以把t1 上的特权授予给u2,但是那些特权将好像是直接由g1 授予的。插后,可以使用grant语句向用户授予any管理特权,需要使用超级用户授予any权限。您可以使用GRANT语句向角色用户授予对象权限,对象权限可以转授。您可以向用户角色授予对象权限,并使被授权者能够向其他用户授予权限。
金仓数据库KingbaseES产品配套工具
最新发布
不写代码的小码农
11-05 796
电科金仓数据库管理系统 KingbaseES(KES) 是面向全行业、全客户关键应用的企业级大型通用数据库管理系统,适用于联机事务处理、查询密集型数据仓库、要求苛刻的互联网应用等场景,提供全部应用开发及系统管理功能,提供性能增强特性,可支持主备集群、读写分离集群、多活共享存储集群等全集群架构,具有高性能、高安全、高可用、易使用、易管理、易维护的特点,支持所有国内外主流CPU、操作系统与云平台部署。
KingbaseES-用户帮助手册.zip
04-16
人大金仓数据库-用户使用手册,帮助新手快速掌握人大金仓数据库的使用,人大金仓数据库是国产数据的老大哥!
金仓数据库KingbaseES数据库管理员指南--2. 数据库管理入门
arthemis_14的博客
07-14 2050
金仓数据库KingbaseES数据库管理员指南--2. 数据库管理入门
人大金仓数据库用户角色
热门推荐
码云仓库地址:https://gitee.com/lance-gyq
01-21 1万+
create user 用户名alter user 用户名 要给的权限\du 用户名没有口令不能登录alter user 用户名 password ‘kingbase’;alter user 用户 connection limit 要设置的连接数;alter user 用户名 valid until '过去的任意日期';alter user 用户名 valid until 'infinity';\du 用户名先登录user01用户创建t01表,让user01有其他对象依赖。
KingbaseES-删除用户
qq_44635470的博客
01-02 1165
因为DROP OWNED 只影响当前数据库中的对象,通常需要在包含将被删除用户所拥有的对象的每一个数据库中都执行这个命令。REASSIGN OWNED 命令是另一种选择,它可以把一个或多个用户所拥有的所有数据库对象重新授予给其他用户。如果一个用户的对象在任何数据库中被引用,它就不能被删除,如果尝试删除将会抛出一个错误。当数据库中还有用户连接的会话时,则无法删除此用户。必须先终止用户会话或者用户可以退出会话,然后才能删除用户。如果用户的对象还存在引用关系,被其他对象依赖,需要删除依赖对象后才能删除用户
KingbaseES 的角色和权限管理
lyu1026的博客
05-09 3678
KingbaseES使用角色的概念管理数据库访问权限。为了方便权限管理用户可以建立多个角色,对角色进行授权和权限回收,并把角色授予其他用户数据库初始化时,会创建一个超级用户角色:system(默认,可修改)。 任何操作都是从该用户开始的。 创建角色 CREATE ROLE name [ [ WITH ] option [ ... ] ] where option可以是: SUPERU...
Kingbase数据库用户权限管理实验报告
Kingbase 数据库权限管理数据库安全的核心部分,涉及到用户权限管理、权限级联回收、角色管理等多个方面。在实际应用中,权限管理的正确配置是确保数据库安全的关键。本文将从 Kingbase 数据库权限管理的基本概念...
[30]-14 Qt使用kingbase数据库存储数据(完成考勤系统数据增删改查).pdf
07-17
在当前这款基于Qt(C++)开发的教室上课考勤系统中,Kingbase数据库被选作数据存储和管理的核心工具。该系统不仅具备基本的学生、教师及管理员的登录与注册功能,还包括了教师发布课程与考勤信息、学生查看个人课程与...
Kingbase安全之权限和角色管理
qq_53058639的博客
05-31 1216
系统权限是执行特定操作的权限。这些权限包括:CREATE DATABASE、CREATE USER、CREATE ROLE这些子句决定新角色是否是一个“超级用户”,它可以越过数据库内的所有访问限制。超级用户状态很危险并且只应该在确实需要时才用。要创建一个新超级用户,你必须自己是一个超级用户。如果没有指定,默认值是NOSUPERUSER。这些子句定义一个角色创建数据库的能力。如果指定了CREATEDB,被定义的角色将被允许创建新的数据库。指定NOCREATEDB将否定一个角色创建数据库的能力。
KingbaseES管理员权限
weixin_41761667的博客
01-04 433
管理员执行基本数据库操作所需要的权限是通过特殊的系统权限授予的,在创建用户时可以指定授权。KingbaseES还提供一些特殊的管理特权,例如,ANY 权限和SYSBACKUP特权。允许用户操作所有的某种类型的数据库对象的某种操作,不包括系统对象。超级用户,越过数据库内的所有访问限制,是最强大的管理权限。允许执行物理备份操作。
KingbaseES- 管理过程权限
qq_44635470的博客
01-03 438
调用方的权限过程以调用方的所有特权执行。KingbaseES数据库使通过调用者的任何已启用角色授予调用者的特权生效,除非定义者的权限过程直接或间接调用调用者的权限过程。调用程序权限过程的用户需要对过程通过调用程序架构中解析的外部引用访问的对象具有特权(直接或通过角色授予用户)。或者,调用程序权限过程的开发人员必须仅授予对过程本身的权限,而不是对调用者权限过程直接引用的所有对象授予特权。如果过程所有者向其他用户授予使用该过程的权限,则过程所有者的权限(对过程引用的对象)适用于被授权用户对该过程的执行。
KingBase用户角色及对象访问权限(Kylin)
weixin_45564816的博客
10-19 950
查看system用户对test数据的权限。
Kingbase安全之用户管理
kingstone96888的博客
01-03 1544
KingbaseES中,由于三权分立的约束,数据库管理员,安全管理员,审计管理员各自维护自己权限许可范围内的用户,不同目的的用户应由相应的管理创建。即:数据库管理用户不能创建和修改安全员和审计员,也不能将一个普通用户修改为安全员或者审计员,安全管理员只能创建和修改安全员并且不能将安全员修改为非安全员,审计管理员只能创建和修改审计员并且不能将审计员修改为非审计员。安全管理员只可以设置及删除对审计管理员和普通用户的审计策略,只可以查看普通用户和审计管理员的审计结果记录。
kingbaseV7-用户管理
myhost_的专栏
01-02 622
kingbaseV7用户管理
KingbaseES -关于创建用户
qq_44635470的博客
01-03 2050
普通用户可以修改自己的密码,但不能修改其他用户的密码,除非有CREATEROLE权限。用户建立连接后即具有默认角色的所有权限,新建用户没有设置默认角色时,其默认角色为空。用户可通过 SET ROLE 语句改变当前生效的角色,通过 ALTER ROLE 语句修改用户的默认角色。在大多数情况下,您可以使用 SQL 语句修改用户,例如,用户可以修改自己的密码。创建指定用户名的用户时,请注意命名名称是否唯一等限制,而且用户名的长度不可以大于63字节。创建用户帐户时,默认此用户有连接(LOGIN)数据库的权限。
人大金仓数据库KingbaseES用户(角色)、数据库、模式、表关系详解
arthemis_14的博客
09-08 6439
模式是对数据库的逻辑分割,在数据库创建的同时,就默认为数据库创建了一个模式—public即为该数据库的默认模式。该数据库创建的所有对象(表、函数等)都是默认在这个模式中的。结论:数据库是被模式分割的,一个数据库至少有一个模式,数据库内部的所有对象都是在模式下被创建的,所以在同一个数据库不同的模式下可以出现同名的表。注意:创建新的模式的时候可以指定模式所属的用户,前提是要在有权限的system用户创建。(7)在刚才创建的模式下进行创建test表。(8)查询创建的两个同名的test表。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值