GBase 8s V8.8 SQL 指南：教程-2.2.1（1）

2.2.1 控制数据库使用
GBase 8s 数据库软件提供控制数据库使用的方法。当您设计数据库时，可以执行以下任何
功能：
• 使数据库完全专用
• 对所有用户或选择的用户开放其全部内容
• 限制某些用户可以查看的数据选择（不同的数据选择适用于不同的用户组）
• 允许指定的用户查看特定项，但不能修改它们
• 允许指定的用户添加新数据，但不能修改旧数据
• 允许指定的用户更修改全部现有数据或现有数据的指定项
• 确保添加或修改的数据符合数据模型
访问管理策略
GBase 8s 支持两种访问管理系统：
基于标签的访问控制（LBAC）
基于标签的访问控制是强制访问控制的实现。它通常在存储高度敏感数据的存储库中，
如由军队或保安服务公司保卫的系统。与 LBAC 相关的 GBase 8s 的主要文档是
GBase 8s 安全指南 。GBase 8s SQL 指南：语法 描述了数据库管理员（DBSA）如何
创建和维护 LBAC 安全对象，此类管理员必须被授授予（DBSECADM）角色，并且
该角色只能由数据库系统管理员（DBSA）授予。
自主访问控制（DAC）
自主访问控制是更为简单的系统，涉及的开销少于 LABC 。根据访问特权和角色，
DAC 在所有的 GBase 8s 数据库中都启用，包括实现 LBAC 的数据库。
创建和授予角色
为了支持 DAC，数据库管理员（DBA）可以定义角色并将角色指定给用户。从而对需要访
问相同数据库对象的用户组的访问特权进行标准化。当 DBA 将特权指定给角色时，一旦
激活该角色，被授予该角色的每个用户都具有这些特权。为了激活特定角色，用户必须发
出 SET ROLE 语句。用于定义和操纵角色的 SQL 语句包括：CREATE ROLE 、DROP 
ROLE 、GRANT 、REVOKE 和 SET ROLE。
有关定义和操作角色的 SQL 语法语句，请参阅《GBase 8s SQL 指南：语法》。