南大通用GBase 8c关于数据库安全权限及访问控制的语法说明

最新推荐文章于 2024-09-09 09:47:53 发布
最新推荐文章于 2024-09-09 09:47:53 发布
阅读量826 收藏 19
点赞数 28
文章标签: 数据库 GBase GBASE南大通用 国产数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47390342/article/details/140950767
版权

原文链接:https://www.gbase.cn/community/post/4198
更多精彩内容尽在南大通用GBase技术社区,南大通用致力于成为用户最信赖的数据库产品供应商。

南大通用GBase 8c提供安全权限机制、行级访问控制等数据库安全功能,本文简述下这些安全功能的语法使用。

(1)默认权限机制

数据库对象创建后,进行对象创建的用户就是该对象的所有者。数据库安装后的默认情况下,未开启三权分立,数据库系统管理员具有与对象所有者相同的权限。也就是说对象创建后,默认只有对象所有者或者系统管理员可以查询、修改和销毁对象,以及通过GRANT 将对象的权限授予其他用户。为使其他用户能够使用对象,必须向用户或包含该用户的角色授予必要的权限。

GBase 8c 支持以下的权限:SELECT、INSERT、UPDATE、DELETE、TRUNCATE、 REFERENCES、CREATE、CONNECT、EXECUTE、USAGE、ALTER、DROP、COMMENT、 INDEX 和 VACUUM。不同的权限与不同的对象类型关联。

要撤消已经授予的权限,可以使用 REVOKE。对象所有者的权限(例如 ALTER、DROP、COMMENT、INDEX、VACUUM、GRANT 和 REVOKE) 是隐式拥有的,即只要拥有对象就可以执行对象所有者的这些隐式权限。对象所有者可以撤消自己的普通权限,例如,使表对自己以及其他人只读,系统管理员用户除外。 

系统表和系统视图要么只对系统管理员可见,要么对所有用户可见。标识了需要系统管理员权限的系统表和视图只有系统管理员可以查询。 

数据库提供对象隔离的特性,对象隔离特性开启时,用户只能查看有权限访问的对象 (表、视图、字段、函数),系统管理员不受影响。

(2)用户权限设置

  • 给用户直接授予某对象的权限,请使用 GRANT。 

将 Schema 中的表或者视图对象授权给其他用户或角色时,需要将表或视图所属 Schema的 USAGE 权限同时授予该用户或角色。否则用户或角色将只能看到这些对象的名称, 并不能实际进行对象访问。

例如,下面示例将 Schema tpcds 的权限赋给用户 joe 后,将表 tpcds.web_returns 的 select权限赋给用户 joe。 

GRANT USAGE ON SCHEMA tpcds TO joe; 
GRANT SELECT ON TABLE tpcds.web_returns to joe;
  • 给用户指定角色,使用户继承角色所拥有的对象权限

a、创建角色。例如,新建一个角色 lily,同时给角色指定系统权限 CREATEDB: 

postgres=# CREATE ROLE lily WITH CREATEDB PASSWORD "test;123";

 b、给角色赋予对象权限,请使用GRANT。 例如,将模式 tpcds 的权限赋给角色 lily 后,将表 tpcds.web_returns 的 select 权限赋给角色 lily。 

postgres=# GRANT USAGE ON SCHEMA tpcds TO lily; 
postgres=# GRANT SELECT ON TABLE tpcds.web_returns to lily;

 c、将角色的权限赋予用户。 

postgres=# GRANT lily to joe;

d、当将角色的权限赋予用户时,角色的属性并不会传递到用户。 

e、回收用户权限,请使用 REVOKE。

(3)行级访问控制

行级访问控制特性将数据库访问控制精确到数据表行级别,使数据库达到行级访问控制的能力。不同用户执行相同的 SQL 查询操作,读取到的结果是不同的。 用户可以在数据表创建行访问控制(Row Level Security)策略,该策略是指针对特定数据库用户、特定 SQL 操作生效的表达式。当数据库用户对数据表访问时,若 SQL 满足数据表特定的 Row Level Security 策略,在查询优化阶段将满足条件的表达式,按照属性(PERMISSIVE | RESTRICTIVE)类型,通过 AND 或 OR 方式拼接,应用到执行计划上。 行级访问控制的目的是控制表中行级数据可见性,通过在数据表上预定义 Filter,在查询优化阶段将满足条件的表达式应用到执行计划上,影响最终的执行结果。当前受影响的SQL 语句包括 SELECT,UPDATE,DELETE。 

示例:某表中汇总了不同用户的数据,但是不同用户只能查看自身相关的数据信息, 不能查看其他用户的数据信息。

--创建用户 alice, bob, peter
postgres=# CREATE USER alice PASSWORD ‘test;123’; 
postgres=# CREATE USER bob PASSWORD 'test;123'; 
postgres=# CREATE USER peter PASSWORD 'test;123'; 
--创建表 all_data,包含不同用户数据信息 
postgres=# CREATE TABLE all_data(id int, role varchar(100), data varchar(100)); 
--向数据表插入数据 
postgres=# INSERT INTO all_data VALUES(1, 'alice', 'alice data'); 
postgres=# INSERT INTO all_data VALUES(2, 'bob', 'bob data'); 
postgres=# INSERT INTO all_data VALUES(3, 'peter', 'peter data'); 
--将表 all_data 的读取权限赋予 alice,bob 和 peter 用户 
postgres=# GRANT SELECT ON all_data TO alice, bob, peter; 
--打开行访问控制策略开关 
postgres=# ALTER TABLE all_data ENABLE ROW LEVEL SECURITY; 
--创建行访问控制策略,当前用户只能查看用户自身的数据 
postgres=# CREATE ROW LEVEL SECURITY POLICY all_data_rls ON all_data USING(role = CURRENT_USER); 
--查看表详细信息 
postgres=# \d+ all_data 
Table "public.all_data" 
Column | 
Type| Modifiers | Storage | Stats target | Description 
--------+------------------------+-----------+----------+--------------+------------- 
USING (((role)::name = "current_user"())) Has OIDs: no 
Location Nodes: ALL DATANODES 
Options: orientation=row, compression=no, enable_rowsecurity=true 
--切换至用户 alice,执行 SQL"SELECT * FROM public.all_data" 
postgres=# \q
gsql -d postgres -p 5432 -U alice
postgres=> SELECT * FROM public.all_data; 
id | role | data 
----+-------+------------ 
1 | alice | alice data (1 row) 
postgres=> EXPLAIN(COSTS OFF) SELECT * FROM public.all_data; 
QUERY PLAN 
---------------------------------------------------------------- 
Streaming (type: GATHER) Node/s: All datanodes 
-> Seq Scan on all_data 
Filter: ((role)::name = 'alice'::name) 
Notice: This query is influenced by row level security feature (5 rows) 

--切换至用户 peter,执行 SQL"SELECT * FROM public.all_data" 
postgres=# \q
gsql -d postgres -p 5432 -U peter
postgres=> SELECT * FROM public.all_data; 
id | role | data
----+-------+------------ 
3 | peter | peter data (1 row) 
gbase=> EXPLAIN(COSTS OFF) SELECT * FROM public.all_data; 
QUERY PLAN 
---------------------------------------------------------------- 
Streaming (type: GATHER) Node/s: All datanodes 
-> Seq Scan on all_data 
Filter: ((role)::name = 'peter'::name) 
Notice: This query is influenced by row level security feature (5 rows)

注意事项

PG_STATISTIC系统表和PG_STATISTIC_EXT系统表存储了统计对象的一些敏感信息,如高频值 MCV。若创建行级访问控制后,将这两张系统表的查询权限授予普通用户,则普通用户仍然可以通过访问这两张系统表,得到统计对象里的这些信息。
 

原文链接:https://www.gbase.cn/community/post/4198
更多精彩内容尽在南大通用GBase技术社区,南大通用致力于成为用户最信赖的数据库产品供应商。

GBASE数据库
关注
  • 28
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
南大通用GBase 8c数据库助力企业轻松实现数据迁移
weixin_47390342的博客
06-12 798
为应对以上同构/异构数据库迁移通常面临的挑战,南大通用GBase 8c从架构、兼容性、安全性、配套工具等多方面进行设计优化,既提高内核本身的适配能力和性能,又加以图形迁移工具辅助,实现数据平滑迁移。数据迁移是企业数字化转型的重要环节,南大通用GBase 8c 数据库凭借其强大的功能和优势,为企业提供了轻松实现数据迁移的解决方案。综合以往项目和迁移经验,数据库迁移流程应包含规划评估、迁移策略设计、准备环境、数据迁移、应用适配、测试与验证、切换部署、性能优化等阶段。
南大通用GBase 8c 多模多态分布式数据库系列一之基本介绍、核心技术、架构演进
weixin_41826637的博客
06-12 3715
随着传统的关系型SQL数据库(Oracle,MySQL,PostgreSQL等)难以满足日益增长的高数据量、快速数据处理要求、高数据库安全及强容灾能力要求(RPO,RTO)等挑战,尽管NoSQL非关系型数据库以非结构化、数据格式灵活、无通用SQL语言、使用API、支持PB级存储等优势而一跃而上。
南大通用GBase 8c迁移指南之MySQL篇
weixin_47390342的博客
06-17 690
更多精彩内容尽在,南大通用致力于成为用户最信赖的数据库产品供应商。本文章为基于MySQL数据库的应用系统向GBase 8c数据库迁移提供快速指导。两种数据库一些细节内容,读者可以参考MySQL官网资料(),以及GBase 8c用户手册来获取细节信息。迁移过程中涉及到的MySQL数据类型等基础映射,篇幅过长,本文不一一赘述。感兴趣的话打在评论区,下次讨论。下文将介绍常用的数据库、数据、函数、索引等基础对象相关SQL的迁移映射。
南大通用GBase 8c行存储引擎下的语法概述
weixin_47390342的博客
09-06 740
更多精彩内容尽在南大通用技术社区,南大通用致力于成为用户最信赖的产品供应商。HTTP文件服务器配置介绍。
【解决方案】从Oracle迁移至南大通用GBase 8c
weixin_47390342的博客
05-28 987
以及根据需求自动地添加新的节点,实现水平扩展与弹性伸缩,提供更高的性能、容错性和可靠性,采用全新内核引擎驱动,提供更好的兼容性并具有多模多态、弹性伸缩、强一致性分布式事务等产品特性,同时提供完善的数据迁移方案与工具,实现不同数据库至GBase 8c的平滑迁移。以使用可视化迁移工具GBase DMT为例,首先添加源库和目标库连接信息,用户根据实际需求创建迁移任务,期间可修改转换规则,预检查通过后保存任务信息,默认自动开启迁移。在迁移完成后,DBA等运维角色可以查看迁移任务详情,或详细查阅迁移任务的评估报告。
南大通用GBase 8c全密态加密之客户端主密钥说明
weixin_47390342的博客
08-01 611
密钥存储路径:默认情况下,localkms将在$LOCALKMS_FILE_PATH路径下生成/读取/删除密钥文件,用户可手动配置该环境变量。但是,用户也可以不用单独配置该环境变量,在尝试获取$LOCALKMS_FILE_PATH失败时,localkms会尝试获取$GAUSSHOME/etc/localkms/路径,如果该路径存在,则将其作为密钥存储路径。取值范围为:AEAD_AES_256_CBC_HMAC_SHA256、AEAD_AES_128_CBC_HMAC_SHA256和SM4_SM3;
GBase 8c对MySQL语法的兼容性说明及改造
weixin_47390342的博客
07-22 843
更多精彩内容尽在南大通用技术社区,南大通用致力于成为用户最信赖的数据库产品供应商。
南大通用GBase 8c 多模多态分布式数据库系列二之安装与卸载
weixin_41826637的博客
06-18 2033
感谢南大通用提供的GBase 8c GDCA 认证培训课程。本系列旨在记录学习心得和分享传播国产分布式数据库。​此章目的是:了解 GBase 8c 分布式数据库架构,熟悉分布式部署流程、掌握分布式集群的安装和卸载操作 ​
GBase 8c MySQL协议兼容说明
weixin_47390342的博客
07-15 844
原文链接:更多精彩内容尽在南大通用GBase技术社区,南大通用致力于成为用户最信赖的数据库产品供应商。GBase 8c 5.0.0版本通过抽象协议层接口,在dophin插件的加持下, B兼容性数据库(dbcompatibility='B',下文称为B兼容库)对mysql协议兼容,用户在设置相关参数后,可通过MySQL的JDBC driver或者MySQL命令行客户端,直接连接GBase 8c
南大通用GBase数据库客户端管理软件GBaseDataStudio
10-29
### 南大通用GBase数据库客户端管理软件GBaseDataStudio #### 一、南大通用GBase数据库简介 南大通用数据技术股份有限公司是中国领先的数据库产品和服务提供商之一,其自主研发的GBase系列数据库管理系统在政府、...
gbase8s 数据库数据的导入和导出.doc
02-23
外部就是独立于 gbase8s 的一个或者多个文件,gbase8s 数据库引擎提供对文件的 SQL 接口访问。通过像外部插入数据或者从外部查询数据的方式,实现数据导入导出机制。创建外部语法如下: Create external ...
南大通用GBase 8s密码安全管理介绍
sinat_33233315的博客
12-24 2520
一、密码强度控制 用户可以配置密码复杂度和长度要求,在创建密码和修改密码时必须符合此强度要求。 密码复杂度受只读量password_format_option控制。 密码长度受只读变量password_min_length控制。 两个变量的值均为0时示关闭密码强度控制。 密码强度控制对以下SQL类型生效: create user [user] identified by 'pass'; alter user [user] identified by 'pass'; se
spring事务详细讲解-深入浅出
小电玩
09-08 431
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境中设置的隔离级别,调整数据库隔离级别。
数据同步是如何实现的?为什么需要数据同步?
oOBubbleX的博客
09-05 899
实时数据同步,确保数据的一致性和实时更新性,将有利于企业各部门之间高效协作,从而支持企业的业务运作和决策。本文将介绍数据同步概念、数据同步的步骤、数据同步的方式,从而加深对数据同步的认识。
【提效工具】AI工作流的1-10个实际落地场景
最新发布
万物皆有灵
09-09 684
在这个快速发展的数字时代,人工智能(AI)正在以惊人的速度改变我们的工作方式。无论你是开发者、教育工作者还是内容创作者,AI工作流提示词助手都能为你提供无与伦比的支持。今天,我们将深入探讨,20个实际落地场景,帮助你更好地理解如何利用这些工具提升工作效率和创造力。💡。
【MYSQL】
ABC1234567890ABM的博客
09-06 934
单列索引情况:根据下图可以看到,查询条件中有phone和name,他们都有单列索引,但是执行explain后发现真正只走了phone的索引,因为phone索引中没有name值,故还需回走一次聚簇索引。为了避免DML在执行时,加的行锁与锁的冲突,在InnoDB中引入了意向锁,使得锁不用检查每行数据是否加锁,使用意向锁来减少锁的检查。全局锁就是对整个数据库实例加锁,加锁后整个实例就处于只读状态,后续的DML的写语句,DDL语句,已经更新操作的事务提交语句都将被阻塞。级锁,每次操作锁住整张
jmeter之setUP、tearDown线程组
回家吃月饼的学习交流地
09-07 486
jmeter之setUP、tearDown线程组的使用
南大通用GBase 8s安全数据库技术白皮书
GBase 8s 技术白皮书是一份详尽介绍南大通用安全数据库管理系统的技术文档,发布于2016年1月,由南大通用数据技术股份有限公司享有版权。该白皮书详细阐述了GBase 8s的核心技术和特性,旨在展示其在数据管理领域的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值