4、Ora_Sec_创建和管理角色
更新:HHH   时间:2023-1-7


创建和管理角色

角色是一组系统权限或对象权限,可以作为一个单元来授予或撤销,可以在会话中临时激活或禁用已经授予的权限。

1、创建角色并授予权限

CREATEROLE rolename;

 

案例:

SQL>createrole hr_junior;

SQL>grantcreate session to hr_junior;

SQL>grant  select on hr.regions to hr_junior;

SQL>grantselect on  hr.locations to hr_junior;

SQL>grantselect on hr.countries to hr_junior;

SQL>grantselect on hr.job_history to hr_junior;

SQL>grantselect on hr.departments to hr_junior;

SQL>grantselect on hr.jobs to hr_junior;

SQL>grantselect on hr.employees to hr_junior;

 

 

SQL>createrole hr_senior;

SQL>granthr_junior to hr_senior with admin option;

SQL>grantinsert, update, delete on hr.employees to hr_senior;

SQL>grantinsert, update, delete on hr.job_history to hr_senior;

 

 

SQL>createrole hr_manager;

SQL>granthr_senior to hr_manager with admin option;

SQL>grantall on hr.regions to hr_manager;

SQL>grantall on hr.locations to hr_manager;

SQL>grantall on hr.countries to hr_manager;

SQL>grantall on hr.departments to hr_manager;

SQL>grantall on hr.job_history to hr_manager;

SQL>grantall on hr.jobs to hr_manager;

SQL>grantall on hr.employees to hr_manager;

 

 

SQL>granthr_manager to scott;

SQL>granthr_junior to peenboo;

 

2、预定义的角色

Oracle数据库中,至少有50个预定义角色,每个DBA必须熟悉一下角色:

  1. CONNECT   (连接) --用于向后兼容,在11g中仅有CREATE SESSION权限。

  2. RESOURCE 也是用于向后兼容,此角色可以创建数据库对象(如表)和过程对象(如pl/sql过程)。该角色还包括UNLIMITED     TABLESPACE权限。

  3. DBA 拥有大多数系统权限,以及多个对象权限和角色,任何被授予DBA权限的用户几乎可以管理数据库的所有方面(启动和关闭除外)。

  4. SELECT_CATALOG_ROLE     拥有针对数据字典对象的2000多个对象权限,但没有系统权限或针对用户的权限。这对新管理员有用,这些人必须监视数据库并报告数据库情况,但看不到用户数据。

  5. SCHEDUALER_ADMIN  拥有用于管理调度服务的调度程序作业所需的系统权限。

  6. PUBLIC  此角色始终授予每个数据库用户账户。如果将某个权限授予PUBLIC,则该权限授予所有用户。

 

   SQL>GRANT select onhr.regions  to public;   --所有用户有权查询hr.regions

 

 

3、启用角色

 

SQL>select* from dba_role_privs where grantee = 'PEENBOO';

--查看已为PEENBOO授予了什么角色

 

SQL>alter user peenboo default role none;    --更改默认行为

--peenboo登录时,将不启用任何角色

 

SQL>grantconnect to peenboo;

SQL>alteruser peenboo default role connect;

SQL>select* from dba_role_privs where grantee= 'PEENBOO';

 

在应用程序中,可以嵌入软件命令来启用 HR_JUNIOR 角色。在会话中启用此角色的基本命令为:

SET  ROLE  rolename;

 

为了安全考虑,可以使用以下语法创建角色:

CREATEROLE  rolename  IDENTIFIED USING  procedure_name;

--只能在运行 procedure_name 命名的PL/SQL过程来启用此角色。此过程可以执行任意多次的检查。



返回数据库教程...