关键字:
概述
受限 DBA 可以对当前 DBA 的权限进行一定限制。当功能开启后 DBA 将不能读取、更改和执行不属于他的以下对象: Table 、Database 、Function 、 Language 、 large object 、Namespace 、Tablespace 、Foreign data wrapper 、 Foreign server 、Type 、 Relation 、 Operator 、 Operator class 、search dictionary 、search configuration 、 conversion 、 extension 、schema
受限DBA功能的设计实现是在原数据库系统基础上进行的,主要根据原权限机制和DBA拥有的数据库操作,对DBA进行相应限制,使数据库系统在受限DBA开启情况下,DBA不再对普通用户的私有数据具有访问和操作功能。
受限dba特性实际操作
将restricted_dba加载到 shared_preload_libraries 参数中后重启数据库
\c test sso
show restricted_dba.restricted_enable;
alter system set restricted_dba.restricted_enable = true;
select sys_reload_conf();
show restricted_dba.restricted_enable;
\c "dbname=test user=system password=123456 port=":PORT
create user testu1 with password '12345678ab';
alter user testu1 with password '12345678ab';--error
--SSO登录修改用户密码
\c "dbname=test user=sso password=12345678ab port=":PORT
alter user testu1 with password '12345678ab';--error
--普通用户创建私有表,并插入数据
\c "dbname=test user=testu1 password=12345678ab port=":PORT
create table test(id int);
insert into test values(1);
--SYSTEM用户登录,进行查看表,预期DBA不再对普通用户的私有数据具有访问和操作功能
\c "dbname=test user=system password=123456 port=":PORT
select * from test;--错误: 对表 test 权限不够
--SYSTEM用户可以创建自己的数据库对象
create table test1(id int);
insert into test1 values(2);
--关闭受限dba
\c "dbname=test user=sso password=12345678ab port=":PORT
alter system set restricted_dba.restricted_enable=off;
select sys_reload_conf();
show restricted_dba.restricted_enable;
--system用户登录,查看testu1的test表,预期有权访问
\c "dbname=test user=system password=123456 port=":PORT
select * from test;
使用经验及注意事项
在当前版本system和superuser之前可以相互grant和revoke对方名下的对象,使用时要小心使用superuser用户。
在当前对Function、Foreign data wrapper 、 Foreign server 、Type 的dba受限存在一定问题,还需要等待之后版本改正。
价值评价
KingbaseES 通过插件的方式来进行受限 DBA。这种方式更为灵活,当数据库的实用场景需要进行受限 DBA 管理时,加载插件即可。而不需要该功能时,卸载插件即可。
参考资料
《KingbaseES 安全指南》
