openGauss三权分立模型

如11.3.1小节所述，openGauss安装完成后会得到一个超级用户，具有最高权限。数据库超级用户的高权限意味着该用户可以做任何系统管理操作和数据管理操作，甚至修改数据库对象，包括11.4章节将要介绍的审计日志信息。对于企业管理来说，手握超级用户权限的管理人员可以在无人知晓的情况下改变数据行为，这带来的后果是不可想象的。

在11.2.1小节提到，初始化用户不允许远程登录，仅可本地登录。那么在组织行为上由IT部门严格监控拥有该权限的员工在本地的操作行为，就可有效避免诸如修改表中数据等监守自盗行为的发生。为了实际管理需要，在数据库内部就需要其他的管理员用户来管理整个系统，如果将大部分的系统管理权限都交给某一个用户来执行实际上也是不合适的，因为这等同超级用户。

为了很好的解决权限高度集中的问题，在openGauss系统中引入三权分立模型，如图11-5所示。三权分立角色模型最关键的三个角色为安全管理员、系统管理员和审计管理员。其中安全管理员用于创建数据管理用户，系统管理员对创建的用户进行赋权，审计管理员则审计安全管理员、系统管理员、普通用户实际的操作行为。

图11-5 三权分立角色模型

通过三权分立角色模型实现权力的分派，且三个管理员角色独立行使权限，相互制约制衡。使得整个系统的权限不会因为权限集中而引入安全的风险。

事实上，产品使用过程中的安全是技术本身与组织管理双重保障的结果，在系统实现三权分立模型后，需要有三个对应的产品自然人分别握有对应的账户信息，以达到真正权限分离的目的。