目录
1
摘要: 本报告为我司向贵方提供数据库服务的工作记录,同时作为档案留存,为贵方数
据库运行提供历史数据。本文档可能涉及系统重要信息,仅供用户参考。同时在传阅过程中
应注意安全保密事宜,防止泄密事件发生。
第一章
权限变更
1.1
适用范围
1、对数据库对象的授权操作,数据库对象包括表、存储过程、同义词、视图和序列等。
授权类型包括查询、增删改、执行。
2、对数据库用户的系统授权操作。
1.2
风险评估
1、对数据库用户进行系统授权时,需要根据实际情况进行,避免因对用户授予过高的
系统权限或角色,进而使该用户存在误操作引发数据库或应用故障的风险。
2、对于存储机密数据的表的授权,需要慎重。以免泄露机密数据。
3、对于涉及同步的数据库,需要分别在同步的两端数据库执行相同的授权操作。
4、10G 之前版本,grant 操作需要获得 Exclusive 级别的 library cache lock/pin。其风
险主要针对于 procedure、function 等,对 table 基本无影响。若 procedure 正在执行时,
对其本身或者其依赖的 procedure、function 进行授权,将阻塞其他要执行此 procedure 或
其依赖 procedure、function 的会话,直到授权前正在执行的 procedure 结束。
5、对数据库对象授权时,不会引起依赖对象失效,但会导致 library cache 中与授权对
象有依赖关系的游标失效,进而产生硬解析。如果对象的依赖游标过多,或执行频率较高,
可能会对系统造成较大的冲击,造成 CPU 繁忙,latch 争用严重,最常引起的 latch 争用有
shared pool、library cache 还会有 library cache pin、cursor pin s:wait x 等争用出现。如果
争用比较严重,甚至可能导致数据库 crash。为避免此类情况出现,对于新建对象,应尽可
能的先把权限授予给可能会使用到的用户;对于在使用的对象,应充分评估对象依赖游标的
个数和执行次数,选择执行低峰进行操作。
6、对于 grant any table,或者 grant DBA/ EXP_FULL_DATABASE 等涉及大量对象的系
统授权操作,应该作为重大变更对待,此类操作的风险极大,务必在业务低峰期进行操作。
1.3
前期准备
1、确认此次授权是否属于正常的业务需要。
2、若赋予的为系统权限,禁止使用 with admin option 选项。
3、若赋予的为对象权限,请确认此对象在数据库中缓存的游标个数,以及每个游标在
文档被以下合辑收录
评论