GaussDB 数据库架构师修炼(十三)安全管理(2)-数据库权限管理
1 用户和角色
基于角色的访问控制( Role-Based Access Control,简称RBAC ),是通过将权限赋予给对应的角色,再将角色授予给用户,可实现用户访问控制权限管理。
对于GaussDB来说,用户和角色是几乎等同的两个概念,唯一的区别是在创建用户的时候会默认授予用户LOGIN权限,而且会自动创建与用户同名的模式。
用户( USER)主要用来连接数据库,创建、访问数据库对象和执行SQL语句。
角色( ROLE)通常用来组织和管理权限。
通过将多种权限打包成角色授予用户,使得用户获得该角色的所 有权限;若改变角色的权限,则继承该角色的用户权限会被自动 修改。一个用户也可以继承多个不同角色的权限。
使用角色控制哪些用户拥有哪些对象的哪些权限,可以大大简化权限的管理。
2 角色管理
1)创建用户/角色:
CREATE USER/ROLE role_name [ [ WITH ] option [ ... ] ] [ ENCRYPTED | UNENCRYPTED ] { PASSWORD | IDENTIFIED BY } { 'password' [EXPIRED] | DISABLE };注: UNENCRYPTED已禁止使用
2)修改用户/角色:
ALTER USER/ROLE role_name [ [ WITH ] option [ ... ] ];3)删除用户/角色:
DROP USER/ROLE [ IF EXISTS ] role_name [, ...];4)授予/回收用户/角色:
GRANT role_name TO role_name [ WITH ADMIN OPTION ]; REVOKE [ ADMIN OPTION FOR ] role_name FROM role_name [ CASCADE | RESTRICT ];子句option语法为:
{SYSADMIN | NOSYSADMIN} 系统管理员
| {MONADMIN | NOMONADMIN} 监控管理员 |
{OPRADMIN | NOOPRADMIN} 运维管理员
| {POLADMIN | NOPOLADMIN} 策略管理员
| {AUDITADMIN | NOAUDITADMIN} 审计管理员
| {CREATEROLE | NOCREATEROLE} 安全管理员
| {PERSISTENCE | NOPERSISTENCE} 永久用户
| {CREATEDB | NOCREATEDB} 创建数据库权限
| {LOGIN | NOLOGIN} 数据库登录权限
3 角色管理 - 举例
举例1:创建角色role1和role2,密码均为Gauss@123
gaussdb=>
gaussdb=> CREATE ROLE role1 WITH password 'Gauss@123';
CREATE ROLE
gaussdb=> CREATE ROLE role2 WITH password 'Gauss@123';
CREATE ROLE举例2:修改角色role1具有LOGIN属性。
gaussdb=> ALTER ROLE role1 WITH LOGIN;
ALTER ROLE
gaussdb=>
举例3:查看系统视图pg_roles获取角色的相关信息。
gaussdb=>
gaussdb=> SELECT oid, rolname, rolcanlogin,rolpassword FROM pg_roles WHERE rolname='role1' or rolname='role2';
举例4:将角色role1授予role2,则角色role2属于组role1, 继承role1的相应权限,查看系统表pg_auth_members获 取角色成员关系。
gaussdb=> GRANT role1 TO role2;
GRANT ROLE
gaussdb=>
gaussdb=>
SELECT * FROM pg_auth_members;
举例5:删除角色role1和role2
gaussdb=> DROP ROLE role1,role2;
DROP ROLE
gaussdb=>
4 系统权限介绍
系统权限:又称用户属性,指系统规定用户使用数据库的权限,比如连接数据库( LOGIN ),创建数 据库(CREATEDB),创建用户(CREATEROLE)等。
通过CREATE USER/ROLE和ALTER USER/ROLE来指定系统权限;系统权限不能通过角色被继承。
例1:创建角色role1,同时授予role1创建用户的权限和创建数据库的权限。
create role role1 with createrole createdb password '*******';例2:授予用户role1监控管理员的权限,同时取消创建数据库的权限
gaussdb=> alter role role1 with monadmin nocreatedb;
ALTER ROLE
例3:查看系统视图pg_roles获取角色的相关信息。
SELECT rolname,rolcreaterole,rolcreatedb,rolmonitoradmin FROM pg_roles WHERE rolname='role1';
5 系统权限 - 三权分立
- 初始安装用户:集群安装过程中自动生成的帐户 ,拥有系统的最高权限 ,能够执行所有的操作。
- SYSADMIN:系统管理员权限 ,权限仅次于初始安装用户 ,默认具有与对象所有者相同的权限 ,但不包括监控管理员权限和运维管理员权限。
- MONADMIN:监控管理员权限,具有监控模式dbe_perf及模式下视图和函数的访问权限和授予权限。
- OPRADMIN:运维管理员权限 ,具有使用Roach工具执行备份恢复的权限。
- CREATEROLE:安全管理员权限 ,具有创建 、修改 、删除用户/角色的权限。
- AUDITADMIN: 审计管理员权限 ,具有查看和维护数据库审计日志的权限。
6 对象权限
1) 对象权限管理层级
2) 对象权限支持的类型及对应关系
- 对象权限:指在数据库、模式、表等数据库对象上执行特定动作的权限,比如: SELECT 、INSERT 、 UPDATE 、DELETE 、CONNECT等。
- 针对不同的数据库对象有不同的对象权限,相应地可以被授予用户/角色。
- 通过GRANT/REVOKE来传递对象权限,对象权限可以通过角色被继承。
7 对象权限 - 授权与回收
例1:将对表tbl进行select的权限以及将select再赋权的权限授予用户user1
csdn=> GRANT select ON TABLE tbl TO user1 WITH GRANT OPTION;
GRANT
csdn=>
csdn=>
赋权后用户user1可以对tbl进行查询(SELECT)操作且user1有权限将select权限再赋予其他用户
例2:将对表tbl进行alter和drop的权限赋给用户user1 。
csdn=> GRANT alter, drop ON TABLE tbl TO user1;
GRANT
csdn=>
csdn=>赋权后用户user1可以对tbl进行修改( ALTER )和删除( DROP)操作。
举3:撤销用户user1对表tbl进行select的权限。
csdn=> REVOKE select ON tbl FROM user1;
REVOKE
csdn=>
csdn=>
撤销后用户user1对tbl进行select操作会报错: ERROR: permission denied for relation tbl
8 对象权限 ACL字段说明
例:查看系统表pg_class的relacl字段获取表相关的授权信息。
csdn=> select relacl from pg_class where relname='tbl';relacl
------------------------------------{csdn=ar*wdDxt/csdn,user1=AP/csdn}
(1 row)说明:
1)表tbl为用户omm所拥有的表,默认具有表tbl的所有权限。
2)用户user1具有表tbl的select的权限以及将select再赋权的权限。
3)用户user2具有表tbl的select权限。
