数据库系统管理与应用 课件 知识点6.4角色管理

达梦数据库角色管理数据库系统管理与应用

习标学目达梦数据库预定义角色01创建角色02删除角色03角色的启用与禁用04角色权限的分配与回收05达梦数据库预定义角色0101预定义角色达梦数据库预定义角色达梦数据库中，角色是一组权限的组合，能够简化数据库的权限管理，使用角色的目的是使权限管理更加方便。基于权限的角色管理在用户和权限之间增加了一道桥梁——角色。权限被赋予角色，数据库管理员通过指定特定的角色为用户授权。在达梦数据库中有两类角色，一类是达梦数据库预设定的角色，一类是用户自定义的角色。达梦数据库提供了一系列的预定义角色以帮助用户进行数据库权限的管理。预定义角色在数据库被创建之后即存在，并且已经包含了一些权限，数据库管理员可以将这些角色直接授予用户。达梦数据库预定义角色达梦数据库预定义的角色角色名称角色简单说明角色名称角色简单说明DBADM数据库系统中最高权限集合，拥有构建数据库的全部特权，只有DBA才可以创建数据库结构DB_AUDIT_VTI具有系统动态视图的查询权限，DB_AUDIT_VTI默认授权给DB_AUDIT_ADMIN且可转授RESOURCE可以创建数据库对象，对有权限的数据库对象进行数据操纵，不可以创建数据库结构DB_AUDIT_SOI具有系统表的查询权限PUBLIC不可以创建数据库对象，只能对有权限的数据库对象进行数据操纵DB_AUDIT_SVI具有基础V视图和审计V视图的查询权限VTI具有系统动态视图的查询权限，VTI默认授权给DBA且可转授DB_POLICY_ADMIN数据库强制访问控制的最高权限集合，可以对数据库进行强制访问控制管理，并创建新的安全管理用户SOI具有系统表的查询权限DB_POLICY_OPER可以对数据库进行强制访问控制管理，但不能创建新的安全管理用户SVI具有基础V视图的查询权限DB_POLICY_PUBLIC不能进行强制访问控制管理，但可以查询强制访问控制相关字典表DB_AUDIT_ADMIN数据库审计的最高权限集合，可以对数据库进行各种审计操作，并创建新的审计用户DB_POLICY_VTI具有系统动态视图的查询权限，DB_POLICY_VTI默认授权给DB_POLICY_ADMIN且可转授DB_AUDIT_OPER可以对数据库进行审计操作，但不能创建新的审计用户DB_POLICY_SOI具有系统表的查询权限DB_AUDIT_PUBLIC不能进行审计设置，但可以查询审计相关字典表DB_POLICY_SVI具有基础V视图和安全V视图的查询权限达梦数据库预定义角色数据类型与预定义角色对应表用户类型预定义角色DBADBA、RESOURCE、PUBLIC、VTI、SOI、SVISSODB_POLICY_ADMIN、DB_POLICY_OPER、DB_POLICY_PUBLIC、DB_POLICY_VTI、DB_POLICY_SOI、DB_POLICY_SVIAUDITORDB_ADUTI_ADMIN、DB_AUDIT_OPER、DB_AUDIT_PUBLIC、DB_AUDIT_VTI、DB_AUDIT_SOI、DB_AUDIT_SVIDBO（安全版本提供）DB_OBJECT_ADMIN、DB_OBJECT_OPER、DB_OBJECT_PUBLIC、DB_OBJECT_VTI、DB_OBJECT_SOI、DB_OBJECT_SVI（安全版本提供）初始时仅有管理员具有创建用户的权限，每种类型的管理员创建的用户缺省就拥有这种类型的PUBLIC和SOI预定义角色，如SYSAUDITOR新创建的用户缺省就具有DB_AUDIT_PUBLIC和DB_AUDIT_SOI角色。之后管理员可根据需要进一步授予新建用户其他预定义角色。管理员也可以将“CREATEUSER”权限转授给其他用户，这些用户之后就可以创建新的用户了，他们创建的新用户缺省也具有与其创建者相同类型的PUBLIC和SOI预定义角色。创建角色0201使用SQL语句创建角色创建角色语法格式：CREATEROLE<角色名>;使用说明：创建者必须具有CREATEROLE数据库权限；角色名的长度不能超过128个字符；角色名不允许和系统已存在的用户名重名；角色名不允许是达梦数据库保留字。02DM管理工具创建角色创建角色打开DM管理工具，在窗口左侧“对象导航栏”【角色】选项上点击右键，在打开的快捷菜单中选择“新建角色（N）…”选项，在打开的“新建角色”窗口，输入角色名，选择所属角色的“授予”或“转授”权，单击“确定”按钮。如图所示。删除角色0301使用SQL语句删除角色删除角色语法格式如下：DROPROLE[IFEXISTS]<角色名>;使用说明：即使已将角色授予了其他用户，删除这个角色的操作也将成功。此时，那些之前被授予该角色的用户将不再具有这个角色所拥有的权限，除非用户通过其他途径也获得了这个角色所具有的权限。指定IFEXISTS关键字后，删除不存在的角色时不会报错，否则会报错。02DM管理工具删除角色删除角色打开DM管理工具，将窗口左侧“对象导航栏”-【角色】节点展开，在需要删除的角色上点击右键，在打开的快捷菜单中单击“删除Delete”选项，打开“删除对象”窗口，选中对象名，单击“确定”按钮，将角色删除。如图所示。角色的启用与禁用0401调用系统过程启用/禁用角色角色启用与禁用某些时候，用户不愿意删除一个角色，但是却希望这个角色失效，此时可以使用达梦数据库系统过程SP_SET_ROLE来设置这个角色为可用或不可用。如：SP_SET_ROLE('EMHR_ROLE1',0);#表示将角色EMHR_ROLE1禁用SP_SET_ROLE('EMHR_ROLE1',1);#表示将角色EMHR_ROLE1启用使用说明：只有拥有ADMIN_ANY_ROLE权限的用户才能启用和禁用角色，并且设置后立即生效；凡是包含禁用角色A的角色M，M中禁用的角色A将无效，但是M仍有效；系统预设的角色是不能设置禁用的，如：DBA、PUBLIC、RESOURCE。02DM管理工具启用/禁用角色角色启用与禁用打开DM管理工具，将窗口左侧“对象导航栏”-【角色】节点展开，在需要启用或禁用的角色上点击右键，在打开的快捷菜单中单击“启用（E）”或“禁用（S）”选项，将启用或禁用。如图所示。角色权限的分配与回收0501SQL语句进行角色权限操作角色权限的分配与回收将角色授予用户或其他角色:GRANT<角色名>{,<角色名>}TO<用户或角色>{,<用户或角色>}[WITHADMINOPTION];使用说明：角色的授予者必须是拥有相应的角色以及其转授权的用户；权限接受者必须与授权者类型一致（如不能把审计角色授予标记角色）；支持角色的转授；不支持角色的循环转授，如将EMHR_ROLE1授予EMHR_ROLE2，EMHR_ROLE2不能再授予EMHR_ROLE1。角色权限的回收:REVOKE[ADMINOPTIONFOR]<角色名>{,<角色名>}FROM<角色名或用户名>;使用说明：权限回收者必须是具有回收相应角色以及转授权的用户；使用ADMINOPTIONFOR选项的目的是收回用户或角色权限转授的权利，而不回收用户或角色的权限。02DM管理工具角色权限操作--系统权限操作角色权限的分配与回收在“修改角色”窗口，选择左侧“系统权限”选项，在右侧的“系统权限”列表，在对应的“权限”名称上，勾选或取消“授予”和“转授”的权限操作。03DM管理工具角色权限操作--对象权限操作角色权限的分配与回收在“修改角色”窗口，选择左侧“对象权限”选项，在中间“对象权限”列表部分将对象节点展开，选择需要授权或回收的对象，在右侧的权限列表部分“权限”名称上，勾选或取消“授予”和“