对象权限是授予用户对数据库对象的权限,包括数据库对象表、列、视图、外部表、序列、数据库、外部 数据包装器、外部服务器、函数、过程、过程语言、模式或表空间上的特权。主要的对象权限类型如下所示:
SELECT
允许从表、视图、物化视图或其他类似表的对象的任何列或特定列中进行SELECT。也允许使用 COPY 。在 UPDATE 或 DELETE 中引用现有列值时也需要此特权。对于序列,这个特权还允许使用 currval 函数。对于大型对象,此特权允许读取对象。
INSERT
允许INSERT将新行插入到表、视图等中。可以在特定的列上授予,在这种情况下,只有那些列可以在 INSERT命令中分配(因此其他列将接收默认值)。
UPDATE
允许 UPDATE 表、视图等的任何列或特定列 (实际上,任何重要的 UPDATE 命令也需要 SELECT 特权,因为它必须引用表列来确定要更新哪些行,以及/或计算列的新值)。除了 SELECT特权之外, SELECT ... FOR UPDATE和 SELECT ... FOR SHARE需要至少一个列上的这个特权。对于序列,这个特权允许使用nextval 和 setval函数。对于大型对象,此特权允许写入或截断对象。
DELETE
允许从表、视图等中DELETE一行(实际上,任何重要的DELETE命令都需要SELECT特权,因为它必须引用表列来确定要删除哪些行)。
TRUNCATE
允许对表、视图等进行 TRUNCATE。
REFERENCES
允许创建引用表或表的特定列的外键约束。
TRIGGER
允许在表、视图等上创建触发器。
CREATE
对于数据库,允许在数据库中创建新的模式和表空间。
对于模式,允许在模式中创建新对象。要重命名一个现有对象,您必须拥有对象和对包含的模式有这个特权。
对于表空间,允许在表空间中创建表、索引和临时文件,并允许创建将表空间作为默认表空间的数据库。(注意,撤销此特权不会改变现有对象的位置。)
CONNECT
允许受让人连接到数据库。此特权在连接启动时进行检查 (除了检查强加的任何sys_hba.conf 限制)。
TEMPORARY
允许在使用数据库时创建临时表。
EXECUTE
允许调用函数或过程,包括使用在函数上实现的任何操作符。这是唯一适用于函数和过程的特权类型。
USAGE
对于过程语言,允许使用该语言创建该语言中的函数。这是惟一适用于过程性语言的特权类型。
对于模式,允许访问模式中包含的对象 (假设也满足对象自己的特权要求)。本质上,这允许被授予者 在模式中“查找”对象。没有这个权限,仍然可以看到对象名,例如通过查询系统目录。此外,在撤销 此权限之后,现有会话可能具有先前执行此查找的语句,因此这不是防止对象访问的完全安全的方法。
对于序列,允许使用 currval 和 nextval 函数。
对于类型和域,允许在创建表、函数和其他模式对象时使用类型或域。(请注意,此特权并不控制该类 型的所有“使用”,例如查询中出现的类型值。它只会阻止创建依赖于类型的对象。此特权的主要目的 是控制哪些用户可以创建对类型的依赖项,这可以防止所有者稍后更改类型。)
对于外部数据包装器,允许使用外部数据包装器创建新服务器。
对于外部服务器,允许使用该服务器创建外部表。受资助者还可以创建、更改或删除与该服务器关联 的自己的用户映射。
在创建对象时,KingbaseES 默认将某些类型的对象的权限授予 public。对于表、表列、序列、外部数据包装器、外部服务器、大型对象、模式或表空间,public 缺省情况下不授予任何特权。对于其他类型的对 象,授予 public 的默认权限如下: 数据库的 CONNECT 和 TEMPORARY (创建临时表) 权限;函数和程序的EXECUTE 权限;语言和数据类型 (包括域) 的 USAGE 权限。当然,对象所有者可以撤销的默认权限和明确 授予的权限。(为了获得最大的安全性,在创建对象的同一事务中发出撤销; 那么就没有其他用户可以在其中使用该对象的窗口。)
1685
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
