在数据库管理中,为了降低系统管理员权限过于集中的风险,通常采用三权分立策略。此策略将权限分为系统管理员、安全管理员和审计管理员。系统管理员不再拥有CREATEROLE和AUDITADMIN属性,安全管理员负责角色与用户创建,审计管理员关注审计日志。三权分立后,各角色权限范围明确,避免了权限过度集中。
默认权限机制和系统管理员两节的描述基于的是集群创建之初的默认情况。从前面的介绍可以看出,默认情况下拥有SYSADMIN属性的系统管理员,具备系统最高权限。
在实际业务管理中,为了避免系统管理员拥有过度集中的权利带来高风险,可以设置三权分立,将系统管理员的权限分立给安全管理员和审计管理员。
三权分立后,系统管理员将不再具有CREATEROLE属性(安全管理员)和AUDITADMIN属性(审计管理员)能力。即不再拥有创建角色和用户的权限,并不再拥有查看和维护数据库审计日志的权限。关于CREATEROLE属性和AUDITADMIN属性的更多信息请参考CREATE ROLE。
三权分立后,系统管理员只会对自己作为所有者的对象有权限。
三权分立的设置办法请参考
三权分立前的权限详情及三权分立后的权限变化,请分别参见表1和表2。
表1默认的用户权限对象名称
系统管理员
安全管理员
审计管理员
普通用户
表空间
对表空间有创建、修改、删除、访问、分配操作的权限。
不具有对表空间进行创建、修改、删除、分配的权限,访问需要被赋权。
表
对所有表有所有的权限。
仅对自己的表有所有的权限,对其他用户的表无权限。
索引
可以在所有的表上建立索引。
仅可以在自己的表上建立索引。
模式
对所有模式有所有的权限。
仅对自己的模式有所有的权限,对其他用户的模式无权限。
函数
对所有的函数有所有的权限。
仅对自己的函数有所有的权限,对其他用户放在public这个公共模式下的函数有调用的权限,对其他
最低0.47元/天 解锁文章
扫一扫
5178
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
