最近在研究达梦数据库的SQL审核,经过咨询厂商,建议采集账号具有以下角色的权限,
grant PUBLIC, RESOURCE, VTI, SOI, SVI to poirot;
PUBLIC、RESOURCE、VTI、SOI、SVI,都代表了什么?
PUBLIC
权限:PUBLIC角色具有在自己模式下操作数据的权限,但不能创建数据库对象。
适用场景:通常用于普通业务用户,他们只需要操作自己业务范围内的数据,而不需要进行数据库的创建或管理操作。
RESOURCE
权限:RESOURCE角色具有在自己模式下创建表、视图等数据库对象的权限,也具有操作这些对象数据的权限。然而,它不能创建数据库结构。
适用场景:适用于需要进行数据库对象创建和管理的用户,但不涉及数据库结构的整体设计或管理。
SOI
权限:SOI角色具有查询系统表(SYS开头的表)的权限。
适用场景:通常用于需要查询系统表以获取数据库结构、对象信息等元数据的用户,如数据库管理员或开发人员。
SVI
权限:具有基础视图的查询权限。SVI默认授权给PUBLIC且可转授,但不支持为PUBLIC角色授予SVI角色权限。也不支持从PUBLIC角色中回收被默认授予的SVI角色权限。可以为SYSDBA授予SVI,但不可以从SYSDBA回收SVI。
适用场景:可能适用于需要进行安全审计、查看安全策略或执行与安全相关的数据库操作的用户。
注意:由于SVI角色的具体权限和适用场景未在提供的参考信息中明确描述,因此这里的解释是基于命名和角色管理的一般理解进行的推测。在实际应用中,建议查阅达梦数据库的官方文档或咨询数据库管理员以获取准确信息。
VTI
权限:VTI角色具有查询动态视图相关的权限。动态视图通常用于提供数据库的动态性能信息,如数据库的运行状态、性能统计等。
适用场景:适用于需要监控数据库性能、优化数据库操作或进行故障排除的用户,如数据库管理员或性能调优专家。
实际执行过程中,某些旧的版本,没有VTI角色,执行就会报错。
大梦数据库中各种角色权限可以见官方文档,链接,
https://eco.dameng.com/document/dm/zh-cn/pm/dm8-safety-appendix.html
“三权分立”预设角色权限列表
说明:每种角色仅对同类型的数据库对象拥有相应权限。如 AUDITOR 类型的预设角色拥有创建用户权限时仅能创建审计用户,DBA 类型的预设角色拥有查询表记录权限时仅能查询非安全且非审计相关的表记录。
| 预设角色 | 预设数据库权限 | 说明 |
| | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| ADMIN ANY DATABASE PRIVILEGE | |
| GRANT ANY OBJECT PRIVILEGE | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| CREATE ANY MATERIALIZED VIEW | |
| |
| DROP ANY MATERIALIZED VIEW | |
| |
| ALTER ANY MATERIALIZED VIEW | |
| |
| SELECT ANY MATERIALIZED VIEW | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| CREATE ANY PARTITION GROUP | |
| |
| |
| USAGE ANY PARTITION GROUP | |
| |
| |
| |
| |
| |
| |
| |
| |
| | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| | |
| |
| |
| |
| |
| |
| |
| | |
| | |
| | |
| |
| |
| |
| |
| |
| |
| | |
| | |
| | 具有系统动态视图的查询权限。VTI默认授权给DBA角色且可转授,不支持从DBA中回收VTI。可以为SYSDBA授予和回收VTI |
| | 具有非审计/安全系统表的查询权限。SOI默认授权给SYSDBA用户且可转授,不支持从SYSDBA回收SOI |
| | 具有基础V视图的查询权限。SVI默认授权给PUBLIC且可转授,不支持从PUBLIC中回收SVI。可以为SYSDBA授予和回收SVI |
| | 具有系统动态视图的查询权限,DB_AUDIT_VTI默认授权给DB_AUDIT_ADMIN且可转授 |
| | 具有基础类系统表和与审计操作相关的系统表的查询权限 |
| | 具有基础V视图和审计V视图的查询权限。DB_AUDIT_SVI默认授权给DB_AUDIT_PUBLIC且可转授 |
| | 具有系统动态视图的查询权限,DB_POLICY_VTI默认授权给DB_POLICY_ADMIN且可转授 |
| | 具有基础类系统表和与安全操作相关的系统表的查询权限 |
| | |
| | |
| | METADATA.GET_DDL专用,查询相同类型其他用户的对象、或SYSDBO用户(包含创建的用户)下的对象、或SYS模式下的对象。此处的相同类型其他用户是指SYSDBA或SYSDBA创建的用户。SELECT_CATALOG_ROLE默认授权给DBA角色且可转授 |
| DB_AUDIT_SELECT_CATALOG_ROLE | | METADATA.GET_DDL专用,查询相同类型其他用户或不同类型用户的对象(包含SYS模式)。DB_AUDIT_SELECT_CATALOG_ROLE默认授权给DB_AUDIT_ADMIN角色且可转授 |
| DB_POLICY_SELECT_CATALOG_ROLE | | METADATA.GET_DDL专用,查询相同类型其他用户或不同类型用户的对象(包含SYS模式)。DB_POLICY_SELECT_CATALOG_ROLE默认授权给DB_POLICY_ADMIN角色且可转授 |
附录 2 “四权分立”预设角色权限列表
说明:每种角色仅对同类型的数据库对象拥有相应权限。如 AUDITOR 类型的预设角色拥有创建用户权限时仅能创建审计用户,DBA 类型的预设角色拥有查询表记录权限时仅能查询非安全且非审计相关的表记录。
| 预设角色 | 预设数据库权限 | 说明 |
| | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| | |
| |
| | |
| | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| | |
| |
| |
| |
| |
| |
| |
| | |
| | |
| | |
| |
| |
| |
| |
| |
| |
| | |
| | |
| | 具有系统动态视图的查询权限。VTI默认授权给DBA角色且可转授,不支持从DBA中回收VTI。可以为SYSDBA授予和回收VTI |
| | 具有非审计/安全系统表的查询权限。SOI默认授权给SYSDBA用户且可转授,不支持从SYSDBA回收SOI |
| | 具有基础V视图的查询权限。SVI默认授权给PUBLIC且可转授,不支持从PUBLIC中回收SVI。可以为SYSDBA授予和回收SVI |
| | 具有系统动态视图的查询权限,DB_AUDIT_VTI默认授权给DB_AUDIT_ADMIN且可转授 |
| | 具有基础类系统表和与审计操作相关的系统表的查询权限 |
| | 具有基础V视图和审计V视图的查询权限。DB_AUDIT_SVI默认授权给DB_AUDIT_PUBLIC且可转授 |
| | 具有系统动态视图的查询权限,DB_POLICY_VTI默认授权给DB_POLICY_ADMIN且可转授 |
| | 具有基础类系统表和与安全操作相关的系统表的查询权限 |
| | |
| | 具有系统动态视图的查询权限,DB_OBJECT_VTI默认授权给DB_OBJECT_ADMIN且可转授 |
| | |
| | |
| | 系统内部角色,具有CREATE ANY TRIGGER和DROP ANY TRIGGER
权限。四权分立时,由于没有CREATE ANY TRIGGER和
DROP ANY TRIGGER权限,系统自动将SYS_ADMIN授权给SYSDBA,
只有具备SYS_ADMIN时SYSDBA才可以创建库级的事件触发器。
SYS_ADMIN既不可转授,也不可从SYSDBA回收 |
| | METADATA.GET_DDL专用,查询相同类型其他用户的对象、或SYSDBO用户(包含创建的用户)下的对象、或SYS模式下的对象。此处的相同类型其他用户是指SYSDBA或SYSDBA创建的用户。SELECT_CATALOG_ROLE默认授权给DBA角色且可转授 |
| DB_AUDIT_SELECT_CATALOG_ROLE | | METADATA.GET_DDL专用,查询相同类型其他用户或不同类型用户的对象(包含SYS模式)。DB_AUDIT_SELECT_CATALOG_ROLE默认授权给DB_AUDIT_ADMIN角色且可转授 |
| DB_POLICY_SELECT_CATALOG_ROLE | | METADATA.GET_DDL专用,查询相同类型其他用户或不同类型用户的对象(包含SYS模式)。DB_POLICY_SELECT_CATALOG_ROLE默认授权给DB_POLICY_ADMIN角色且可转授 |
| DB_OBJECT_SELECT_CATALOG_ROLE | | METADATA.GET_DDL专用,查询相同类型其他用户的对象、或SYSDBA用户(包含创建的用户)下的对象、或SYS模式下的对象。此处的相同类型其他用户是指SYSDBO或SYSDBO创建的用户。DB_OBJECT_SELECT_CATALOG_ROLE默认授权给DB_OBJECT _ADMIN角色且可转授 |
如果您认为这篇文章有些帮助,还请不吝点下文章末尾的"点赞"和"在看",或者直接转发朋友圈,
