暂无图片
暂无图片
暂无图片
暂无图片
暂无图片

Oracle12.2 多租户环境下的授权管理

Oracle 2017-04-14
614

题记:在多租户环境中,权限可以全局授予整个CDB,一个应用容器数据库(application container),或者单个的PDB。在多租户环境下,往往牵一发而动全身,因此合理授权就显得格外重要。通过本文我们首先来认识多租户中的全局授权和本地授权。

概述

在多租户环境下,common user和local user之间可以互相授权。他们本身的权限既不属于公共权限也不属于本地权限。那么他们的权限如何起作用,这取决于权限是被全局授予还是本地授予的。


关于公用用户common user和本地用户local user的内容,请查看:

Oracle 12c多租户特性详解:全局用户与本地用户的原理与维护


权限生效满足以下规则:

全局授予的权限

1、被全局授予的权限能够应用于现有和将来创建的container中。

2、只有common 用户才能被授予公共权限,并且需要授权者也是common用户。

3、common 用户可以给另一个common 用户或者common 角色进行授权。

4、在进行授权的时候,授权者必须连接到root 容器,并且在授权语句中指定 CONTAINER=ALL。

5、系统权限和对象权限都可以被全局授予。

6、当一个common用户连接或者转换到现有的一个容器中时,该用户的权限除了受到当前被授予权限的限制,还受到所在容器具有的权限的限制。

7、避免全局地授予public权限。

本地授予的权限

1、本地授予的权限只能在当前的container中起作用,哪怕是对于root 容器,如果权限被本地授予,只能在root中起作用。

2、common 用户和local 用户都可以进行本地授权。

3、授权者必须连接到某一个container中,并在授权语句中指定CONTAINER=CURRENT。

4、common用户和local用户都可以对common或local的角色授予权限。

5、任何用户都可以对其他的用户、角色(包含public角色)进行本地授权。


全局授予系统权限

用户只能在被授权的PDB内使用对应的系统权限。例如,如果用户A在PDB B中被授予某种权限,该权限只有当用户A连接到PDB B中时才会生效。


在满足下列条件的情况下,系统权限可以被root及所有现有的和新创建的PDB中生效:

1、授权者属于common 用户,而被授权者是common用户、common角色或者public 角色,不要全局地对public角色授予系统权限,这会影响到所有能访问到的用户。

2、系统权限的授予者在进行全局授权的时候包含了ADMIN OPTION的选项。

3、在授权语句中包含了CONTAINER=ALL 的选项。


下面的例子显示了如何全局授权给公用用户c##hr_admin。

CONNECT SYSTEM 
Enter password: password Connected.
GRANT CREATE ANY TABLE TO c##hr_admin CONTAINER=ALL;


全局授予对象权限

公共对象上的对象权限对该对象以及此对象上的所有关联链接生效。如果满足下面的一些要求,这些链接包括所有元数据链接,数据链接(以前称为对象链接)或与其相关联的扩展数据链接(属于该容器的所有PDB(包括新创建的PDB))。

1、对象特权授予者是公用用户,而被授权者是公用用户,公用角色或PUBLIC角色。

2、对象特权授权者拥有全局授予的GRANT权限。

3、GRANT语句包含CONTAINER = ALL子句。


以下示例显示如何向公用用户c## hr_admin授予对象特权,以便他可以从CDB根目录中的任何与之相关联的PDB中的DBA_PDBS视图进行select查询。

CONNECT SYSTEM
Enter password: password Connected.
GRANT SELECT ON DBA_OBJECTS TO c##hr_admin 
CONTAINER=ALL;


授予或回收PDB的访问权限

可以在多租户环境中授予和撤销PDB访问权限。

要在多租户环境中授予权限,应该在GRANT或REVOKE语句中包含CONTAINER子句。

将CONTAINER设置为ALL,将特权应用于所有现有和新创建的容器; 将其设置为CURRENT仅将权限应用于本地容器。 省略CONTAINER子句将特权应用于本地容器。 如果从root发出GRANT语句,并忽略CONTAINER子句,则该特权将在本地PDB应用。

下面的语句是如何通用授予公用用户c## hr_admin的CREATE TABLE权限,以便此用户可以在所有现有和新创建的容器中使用此权限。

CONNECT SYSTEM
Enter password: password Connected.
GRANT CREATE TABLE TO c##hr_admin CONTAINER=ALL;


启用公用用户查看CONTAINER_DATA对象信息

公用用户可以查看root中的CONTAINER_DATA对象或特定PDB中的数据。


连接到root时查看有关root,CDB和PDB的数据


当公用用户执行查询时,可以限制X $表和V $,GV $和CDB_ *视图的视图信息。X$表和这些视图包含有关应用程序root及其关联应用程序PDB的信息,或者如果连接到CDB root,则是整个CDB。

当不想全局其他PDB的敏感信息时,限制此信息很有用。 要启用此功能,Oracle数据库将这些表和视图提供为容器数据对象。 可以通过查询USER_ | DBA_ | ALL_VIEWS | TABLES字典视图的TABLE_NAME,VIEW_NAME和CONTAINER_DATA列来查找特定表或视图是否为容器数据对象。

要查找有关默认(用户级别)和特定于对象的CONTAINER_DATA属性的信息,请查询CDB_CONTAINER_DATA数据字典视图。


例如:


启用公用用户查看指定PDB的信息

可以通过调整用户的CONTAINER_DATA属性来启用公用用户访问与特定PDB相关的数据。(要使公用用户能够访问有关特定PDB的数据,请在root中发出ALTER USER语句。)


以下示例显示如何发出ALTER USER语句以启用通用用户c##hr_admin在V $ SESSION视图中查看与CDB $ ROOT,SALES_PDB和HRPDB容器相关的信息(假设此用户可以查询该视图)。

CONNECT SYSTEM
Enter password: password Connected.
ALTER USER c##hr_admin
SET CONTAINER_DATA = (CDB$ROOT, SALESPDB, HRPDB) 
FOR V$SESSION CONTAINER=CURRENT;


在上面的示例中:

  • SET CONTAINER_DATA列出容器,有关用户可以访问的数据。

  • FOR  V$SESSION指定CONTAINER_DATA动态视图,公用用户c## hr_admin将可以做select查询。

  • 必须指定CONTAINER = CURRENT,因为当连接到根时,CONTAINER = ALL是ALTER USER语句的默认值,但CONTAINER_DATA属性的修改必须限制为root。


如果要启用用户c##hr_admin来查看与该用户可访问的所有CONTAINER_DATA对象中的CDB$ROOT,SALES_PDB,HR_PDB容器相关的信息,请忽略FOR V$SESSION。 例如:

ALTER USER c##hr_admin
SET CONTAINER_DATA = (CDB$ROOT, SALESPDB, HRPDB) 
CONTAINER=CURRENT;


关于多租户的权限控制:

【动手实践】:Lockdown Profile 的多租户权限控制

数据库的权限安全管理:

【安全为王】听说你最喜欢给所有用户授DBA的权限

数据库权限管理:

【合理授权,安全第一】聊一聊Oracle数据库的用户权限


关注数据和云微信微信,获取持续精彩分享。

----本文来自Oracle官方文档翻译。

加入"云和恩墨大讲堂"微信群,参与讨论学习

搜索 盖国强(Eygle) :eyygle,或者扫描下面二维码,备注:云和恩墨大讲堂,即可入群。每周与千人共享免费技术分享,与讲师在线讨论。


关注微信,获得后续精彩分享

文章转载自Oracle,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论