數(shù)據(jù)庫(kù)系統(tǒng)管理與應(yīng)用 課件 知識(shí)點(diǎn)6.4角色管理

達(dá)夢(mèng)數(shù)據(jù)庫(kù)角色管理數(shù)據(jù)庫(kù)系統(tǒng)管理與應(yīng)用

習(xí)標(biāo)學(xué)目達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)定義角色01創(chuàng)建角色02刪除角色03角色的啟用與禁用04角色權(quán)限的分配與回收05達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)定義角色0101預(yù)定義角色達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)定義角色達(dá)夢(mèng)數(shù)據(jù)庫(kù)中，角色是一組權(quán)限的組合，能夠簡(jiǎn)化數(shù)據(jù)庫(kù)的權(quán)限管理，使用角色的目的是使權(quán)限管理更加方便?；跈?quán)限的角色管理在用戶和權(quán)限之間增加了一道橋梁——角色。權(quán)限被賦予角色，數(shù)據(jù)庫(kù)管理員通過(guò)指定特定的角色為用戶授權(quán)。在達(dá)夢(mèng)數(shù)據(jù)庫(kù)中有兩類角色，一類是達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)設(shè)定的角色，一類是用戶自定義的角色。達(dá)夢(mèng)數(shù)據(jù)庫(kù)提供了一系列的預(yù)定義角色以幫助用戶進(jìn)行數(shù)據(jù)庫(kù)權(quán)限的管理。預(yù)定義角色在數(shù)據(jù)庫(kù)被創(chuàng)建之后即存在，并且已經(jīng)包含了一些權(quán)限，數(shù)據(jù)庫(kù)管理員可以將這些角色直接授予用戶。達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)定義角色達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)定義的角色角色名稱角色簡(jiǎn)單說(shuō)明角色名稱角色簡(jiǎn)單說(shuō)明DBADM數(shù)據(jù)庫(kù)系統(tǒng)中最高權(quán)限集合，擁有構(gòu)建數(shù)據(jù)庫(kù)的全部特權(quán)，只有DBA才可以創(chuàng)建數(shù)據(jù)庫(kù)結(jié)構(gòu)DB_AUDIT_VTI具有系統(tǒng)動(dòng)態(tài)視圖的查詢權(quán)限，DB_AUDIT_VTI默認(rèn)授權(quán)給DB_AUDIT_ADMIN且可轉(zhuǎn)授RESOURCE可以創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象，對(duì)有權(quán)限的數(shù)據(jù)庫(kù)對(duì)象進(jìn)行數(shù)據(jù)操縱，不可以創(chuàng)建數(shù)據(jù)庫(kù)結(jié)構(gòu)DB_AUDIT_SOI具有系統(tǒng)表的查詢權(quán)限PUBLIC不可以創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象，只能對(duì)有權(quán)限的數(shù)據(jù)庫(kù)對(duì)象進(jìn)行數(shù)據(jù)操縱DB_AUDIT_SVI具有基礎(chǔ)V視圖和審計(jì)V視圖的查詢權(quán)限VTI具有系統(tǒng)動(dòng)態(tài)視圖的查詢權(quán)限，VTI默認(rèn)授權(quán)給DBA且可轉(zhuǎn)授DB_POLICY_ADMIN數(shù)據(jù)庫(kù)強(qiáng)制訪問(wèn)控制的最高權(quán)限集合，可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行強(qiáng)制訪問(wèn)控制管理，并創(chuàng)建新的安全管理用戶SOI具有系統(tǒng)表的查詢權(quán)限D(zhuǎn)B_POLICY_OPER可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行強(qiáng)制訪問(wèn)控制管理，但不能創(chuàng)建新的安全管理用戶SVI具有基礎(chǔ)V視圖的查詢權(quán)限D(zhuǎn)B_POLICY_PUBLIC不能進(jìn)行強(qiáng)制訪問(wèn)控制管理，但可以查詢強(qiáng)制訪問(wèn)控制相關(guān)字典表DB_AUDIT_ADMIN數(shù)據(jù)庫(kù)審計(jì)的最高權(quán)限集合，可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行各種審計(jì)操作，并創(chuàng)建新的審計(jì)用戶DB_POLICY_VTI具有系統(tǒng)動(dòng)態(tài)視圖的查詢權(quán)限，DB_POLICY_VTI默認(rèn)授權(quán)給DB_POLICY_ADMIN且可轉(zhuǎn)授DB_AUDIT_OPER可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)操作，但不能創(chuàng)建新的審計(jì)用戶DB_POLICY_SOI具有系統(tǒng)表的查詢權(quán)限D(zhuǎn)B_AUDIT_PUBLIC不能進(jìn)行審計(jì)設(shè)置，但可以查詢審計(jì)相關(guān)字典表DB_POLICY_SVI具有基礎(chǔ)V視圖和安全V視圖的查詢權(quán)限達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)定義角色數(shù)據(jù)類型與預(yù)定義角色對(duì)應(yīng)表用戶類型預(yù)定義角色DBADBA、RESOURCE、PUBLIC、VTI、SOI、SVISSODB_POLICY_ADMIN、DB_POLICY_OPER、DB_POLICY_PUBLIC、DB_POLICY_VTI、DB_POLICY_SOI、DB_POLICY_SVIAUDITORDB_ADUTI_ADMIN、DB_AUDIT_OPER、DB_AUDIT_PUBLIC、DB_AUDIT_VTI、DB_AUDIT_SOI、DB_AUDIT_SVIDBO（安全版本提供）DB_OBJECT_ADMIN、DB_OBJECT_OPER、DB_OBJECT_PUBLIC、DB_OBJECT_VTI、DB_OBJECT_SOI、DB_OBJECT_SVI（安全版本提供）初始時(shí)僅有管理員具有創(chuàng)建用戶的權(quán)限，每種類型的管理員創(chuàng)建的用戶缺省就擁有這種類型的PUBLIC和SOI預(yù)定義角色，如SYSAUDITOR新創(chuàng)建的用戶缺省就具有DB_AUDIT_PUBLIC和DB_AUDIT_SOI角色。之后管理員可根據(jù)需要進(jìn)一步授予新建用戶其他預(yù)定義角色。管理員也可以將“CREATEUSER”權(quán)限轉(zhuǎn)授給其他用戶，這些用戶之后就可以創(chuàng)建新的用戶了，他們創(chuàng)建的新用戶缺省也具有與其創(chuàng)建者相同類型的PUBLIC和SOI預(yù)定義角色。創(chuàng)建角色0201使用SQL語(yǔ)句創(chuàng)建角色創(chuàng)建角色語(yǔ)法格式：CREATEROLE<角色名>;使用說(shuō)明：創(chuàng)建者必須具有CREATEROLE數(shù)據(jù)庫(kù)權(quán)限；角色名的長(zhǎng)度不能超過(guò)128個(gè)字符；角色名不允許和系統(tǒng)已存在的用戶名重名；角色名不允許是達(dá)夢(mèng)數(shù)據(jù)庫(kù)保留字。02DM管理工具創(chuàng)建角色創(chuàng)建角色打開(kāi)DM管理工具，在窗口左側(cè)“對(duì)象導(dǎo)航欄”【角色】選項(xiàng)上點(diǎn)擊右鍵，在打開(kāi)的快捷菜單中選擇“新建角色（N）…”選項(xiàng)，在打開(kāi)的“新建角色”窗口，輸入角色名，選擇所屬角色的“授予”或“轉(zhuǎn)授”權(quán)，單擊“確定”按鈕。如圖所示。刪除角色0301使用SQL語(yǔ)句刪除角色刪除角色語(yǔ)法格式如下：DROPROLE[IFEXISTS]<角色名>;使用說(shuō)明：即使已將角色授予了其他用戶，刪除這個(gè)角色的操作也將成功。此時(shí)，那些之前被授予該角色的用戶將不再具有這個(gè)角色所擁有的權(quán)限，除非用戶通過(guò)其他途徑也獲得了這個(gè)角色所具有的權(quán)限。指定IFEXISTS關(guān)鍵字后，刪除不存在的角色時(shí)不會(huì)報(bào)錯(cuò)，否則會(huì)報(bào)錯(cuò)。02DM管理工具刪除角色刪除角色打開(kāi)DM管理工具，將窗口左側(cè)“對(duì)象導(dǎo)航欄”-【角色】節(jié)點(diǎn)展開(kāi)，在需要?jiǎng)h除的角色上點(diǎn)擊右鍵，在打開(kāi)的快捷菜單中單擊“刪除Delete”選項(xiàng)，打開(kāi)“刪除對(duì)象”窗口，選中對(duì)象名，單擊“確定”按鈕，將角色刪除。如圖所示。角色的啟用與禁用0401調(diào)用系統(tǒng)過(guò)程啟用/禁用角色角色啟用與禁用某些時(shí)候，用戶不愿意刪除一個(gè)角色，但是卻希望這個(gè)角色失效，此時(shí)可以使用達(dá)夢(mèng)數(shù)據(jù)庫(kù)系統(tǒng)過(guò)程SP_SET_ROLE來(lái)設(shè)置這個(gè)角色為可用或不可用。如：SP_SET_ROLE('EMHR_ROLE1',0);#表示將角色EMHR_ROLE1禁用SP_SET_ROLE('EMHR_ROLE1',1);#表示將角色EMHR_ROLE1啟用使用說(shuō)明：只有擁有ADMIN_ANY_ROLE權(quán)限的用戶才能啟用和禁用角色，并且設(shè)置后立即生效；凡是包含禁用角色A的角色M，M中禁用的角色A將無(wú)效，但是M仍有效；系統(tǒng)預(yù)設(shè)的角色是不能設(shè)置禁用的，如：DBA、PUBLIC、RESOURCE。02DM管理工具啟用/禁用角色角色啟用與禁用打開(kāi)DM管理工具，將窗口左側(cè)“對(duì)象導(dǎo)航欄”-【角色】節(jié)點(diǎn)展開(kāi)，在需要啟用或禁用的角色上點(diǎn)擊右鍵，在打開(kāi)的快捷菜單中單擊“啟用（E）”或“禁用（S）”選項(xiàng)，將啟用或禁用。如圖所示。角色權(quán)限的分配與回收0501SQL語(yǔ)句進(jìn)行角色權(quán)限操作角色權(quán)限的分配與回收將角色授予用戶或其他角色:GRANT<角色名>{,<角色名>}TO<用戶或角色>{,<用戶或角色>}[WITHADMINOPTION];使用說(shuō)明：角色的授予者必須是擁有相應(yīng)的角色以及其轉(zhuǎn)授權(quán)的用戶；權(quán)限接受者必須與授權(quán)者類型一致（如不能把審計(jì)角色授予標(biāo)記角色）；支持角色的轉(zhuǎn)授；不支持角色的循環(huán)轉(zhuǎn)授，如將EMHR_ROLE1授予EMHR_ROLE2，EMHR_ROLE2不能再授予EMHR_ROLE1。角色權(quán)限的回收:REVOKE[ADMINOPTIONFOR]<角色名>{,<角色名>}FROM<角色名或用戶名>;使用說(shuō)明：權(quán)限回收者必須是具有回收相應(yīng)角色以及轉(zhuǎn)授權(quán)的用戶；使用ADMINOPTIONFOR選項(xiàng)的目的是收回用戶或角色權(quán)限轉(zhuǎn)授的權(quán)利，而不回收用戶或角色的權(quán)限。02DM管理工具角色權(quán)限操作--系統(tǒng)權(quán)限操作角色權(quán)限的分配與回收在“修改角色”窗口，選擇左側(cè)“系統(tǒng)權(quán)限”選項(xiàng)，在右側(cè)的“系統(tǒng)權(quán)限”列表，在對(duì)應(yīng)的“權(quán)限”名稱上，勾選或取消“授予”和“轉(zhuǎn)授”的權(quán)限操作。03DM管理工具角色權(quán)限操作--對(duì)象權(quán)限操作角色權(quán)限的分配與回收在“修改角色”窗口，選擇左側(cè)“對(duì)象權(quán)限”選項(xiàng)，在中間“對(duì)象權(quán)限”列表部分將對(duì)象節(jié)點(diǎn)展開(kāi)，選擇需要授權(quán)或回收的對(duì)象，在右側(cè)的權(quán)限列表部分“權(quán)限”名稱上，勾選或取消“授予”和“