GuassDB数据库的GRANT REVOKE
目录
一、GaussDB的权限概述
二、GaussDB权限设计建议
三、GaussDB的GRANT命令
1.功能说明
2.注意事项
3.常用语法
四、GaussDB的REVOKE命令用法
1.功能说明
2.注意事项
3.常用语法
五、GaussDB示例
1.GRANT 语句示例
2.REVOKE 语句示例
一、GaussDB的权限概述
在数据库中,对象的创建者将成为该对象的所有者,具有对该对象进行查询、修改和删除等操作的权限。同时,系统管理员也拥有与所有者相同的权限。因此,如果要让其他用户能够使用某个对象,必须向该用户或包含该用户的角色授予必要的权限。
GaussDB数据库对象权限:
对象所有者的权限(例如ALTER、DROP、COMMENT、INDEX、VACUUM、GRANT和REVOKE)是隐式拥有的,即只要拥有对象就可以执行对象所有者的这些隐式权限。对象所有者可以撤消自己的普通权限。
要撤消已经授予的权限,可以使用REVOKE。
系统表和系统视图要么只对系统管理员可见,要么对所有用户可见。标识了需要系统管理员权限的系统表和视图只有系统管理员可以查询。
数据库提供对象隔离的特性,对象隔离特性开启时,用户只能查看有权限访问的对象(表、视图、字段、函数),系统管理员不受影响。
不建议用户修改系统表和系统视图的权限。
二、GaussDB权限设计建议
在进行业务使用前,必须由系统管理员(root用户)创建数据库、模式(SCHEMA)和用户(USER)。然后,需要为相关用户授予访问对象所需的权限。如果该用户不是该模式的所有者,则要访问该模式下的对象,还需要同时向该用户授予模式的usage权限和对象的相应权限。
DATABASE、SCHEMA和USER名使用小写。数据库会默认把其名转为小写,连接串里面如果出现大写的对象名无法连接到数据库。
对角色和用户赋权时,应使用最小化权限原则。
优先通过角色来管理权限。使用角色管理权限,再将角色赋予用户。例如:
在删除指定数据库时,应回收用户对该数据库的CONNECT权限,避免删除时仍然存在活跃的数据库连接而失败。
三、GaussDB的GRANT命令
1.功能说明
将数据库对象(表和视图、指定字段、数据库、函数、模式、表空间等)的相关权限授予特定角色或用户;
GRANT命令将数据库对象的特定权限授予一个或多个角色。这些权限会追加到已有的权限上。
如果声明了WITH GRANT OPTION,则被授权的用户也可以将此权限赋予他人。这个选项不能赋予PUBLIC(GaussDB特有的属性)。
对象的所有者缺省具有该对象上的所有权限,出于安全考虑所有者可以舍弃部分权限,但ALTER、DROP、COMMENT、INDEX、VACUUM以及对象的可再授予权限属于所有者固有的权限,隐式拥有。
将一个角色或用户的权限授予一个或多个其他角色或用户。在这种情况下,每个角色或用户都可视为拥有一个或多个数据库权限的集合。
数据库系统管理员可以给任何角色或用户授予/撤销任何权限。拥有CREATEROLE权限的角色可以赋予或者撤销任何非系统管理员角色的权限。
2.注意事项
1)不允许将ANY权限授予PUBLIC,也不允许从PUBLIC回收ANY权限。
2)ANY权限属于数据库内的权限,只对授予该权限的数据库内的对象有效,例如SELECT ANY TABLE只允许用户查看当前数据库内的所有用户表数据,对其他数据库内的用户表无查看权限。
3)即使用户被授予ANY权限,也不能对私有用户下的对象进行访问操作(INSERT、DELETE、UPDATE、SELECT)。
4)ANY权限与原有的权限相互无影响。
5)如果用户被授予CREATE ANY TABLE权限,在同名schema下创建表的属主是该schema的创建者,用户对表进行其他操作时,需要授予相应的操作权限。
6)需要谨慎授予用户CREATE ANY FUNMCTION的权限,以免其他用户利用SECURITY DEFINER类型的函数进行权限提升。
3.常用语法
1)将表或视图的访问权限赋予指定的用户或角色
GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER | ALTER | DROP | COMMENT | INDEX | VACUUM } [, ...] | ALL [ PRIVILEGES ] } ON { [ TABLE ] table_name [, ...] | ALL TABLES IN SCHEMA schema_name [, ...] } TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]; |
2)将表中字段的访问权限赋予指定的用户或角色
GRANT { {{ SELECT | INSERT | UPDATE | REFERENCES | COMMENT } ( column_name [, ...] )} [, ...] | ALL [ PRIVILEGES ] ( column_name [, ...] ) }ON [ TABLE ] table_name [, ...]TO { [ GROUP ] role_name | PUBLIC } [, ...][ WITH GRANT OPTION ]; |
3)将数据库的访问权限赋予指定的用户或角色
GRANT { { CREATE | CONNECT | TEMPORARY | TEMP | ALTER | DROP | COMMENT } [, ...] | ALL [ PRIVILEGES ] }ON DATABASE database_name [, ...]TO { [ GROUP ] role_name | PUBLIC } [, ...][ WITH GRANT OPTION ]; |
4)将函数的访问权限赋予给指定的用户或角色
GRANT { { EXECUTE | ALTER | DROP | COMMENT } [, ...] | ALL [ PRIVILEGES ] }ON { FUNCTION {function_name ( [ {[ argmode ] [ arg_name ] arg_type} [, ...] ] )} [, ...]| ALL FUNCTIONS IN SCHEMA schema_name [, ...] }TO { [ GROUP ] role_name | PUBLIC } [, ...][ WITH GRANT OPTION ]; |
5)将存储过程的访问权限赋予给指定的用户或角色
GRANT { { EXECUTE | ALTER | DROP | COMMENT } [, ...] | ALL [ PRIVILEGES ] }ON { PROCEDURE {proc_name ( [ {[ argmode ] [ arg_name ] arg_type} [, ...] ] )} [, ...]TO { [ GROUP ] role_name | PUBLIC } [, ...][ WITH GRANT OPTION ]; |
……
四、GaussDB的REVOKE命令用法
1.功能说明
REVOKE用于撤销一个或多个用户或角色的权限。
2.注意事项
非对象所有者REVOKE权限时,按照以下规则执行:
1)如果授权用户没有该对象上的权限,则命令立即失败。
2)如果授权用户有部分权限,则只撤销那些有授权选项的权限。
3)如果授权用户没有授权选项,REVOKE ALL PRIVILEGES形式将发出一个错误信息,而对于其他形式的命令而言,如果是命令中指定名称的权限没有相应的授权选项,该命令将发出一个警告。
3.常用语法
1)回收指定表或视图上的权限
REVOKE [ GRANT OPTION FOR ]{ { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | ALTER | DROP | COMMENT | INDEX | VACUUM }[, ...] | ALL [ PRIVILEGES ] }ON { [ TABLE ] table_name [, ...]| ALL TABLES IN SCHEMA schema_name [, ...] }FROM { [ GROUP ] role_name | PUBLIC } [, ...][ CASCADE | RESTRICT ]; |
2)回收表上指定字段的权限
REVOKE [ GRANT OPTION FOR ]{ {{ SELECT | INSERT | UPDATE | REFERENCES | COMMENT } ( column_name [, ...] )}[, ...] | ALL [ PRIVILEGES ] ( column_name [, ...] ) }ON [ TABLE ] table_name [, ...]FROM { [ GROUP ] role_name | PUBLIC } [, ...][ CASCADE | RESTRICT ]; |
3)回收指定数据库上的权限
REVOKE [ GRANT OPTION FOR ]{ { CREATE | CONNECT | TEMPORARY | TEMP | ALTER | DROP | COMMENT } [, ...] | ALL [ PRIVILEGES ] }ON DATABASE database_name [, ...]FROM { [ GROUP ] role_name | PUBLIC } [, ...][ CASCADE | RESTRICT ]; |
4)回收指定函数上的权限
REVOKE [ GRANT OPTION FOR ]{ { EXECUTE | ALTER | DROP | COMMENT } [, ...] | ALL [ PRIVILEGES ] }ON { FUNCTION {function_name ( [ {[ argmode ] [ arg_name ] arg_type} [, ...] ] )} [, ...]| ALL FUNCTIONS IN SCHEMA schema_name [, ...] }FROM { [ GROUP ] role_name | PUBLIC } [, ...][ CASCADE | RESTRICT ]; |
5)回收指定存储过程上的权限
REVOKE [ GRANT OPTION FOR ]{ { EXECUTE | ALTER | DROP | COMMENT } [, ...] | ALL [ PRIVILEGES ] }ON { PROCEDURE {proc_name ( [ {[ argmode ] [ arg_name ] arg_type} [, ...] ] )} [, ...]| ALL PROCEDURE IN SCHEMA schema_name [, ...] }FROM { [ GROUP ] role_name | PUBLIC } [, ...][ CASCADE | RESTRICT ]; |
……
五、GaussDB示例
1.GRANT 语句示例
1)授予用户 user_name 对 database_name.table_name 表的 SELECT、INSERT、UPDATE、DELETE 权限。
GRANT SELECT,INSERT,UPDATE,DELETE ON database_name.table_name TO user_name; |
2)授予用户 user_name 对 database_name.table_name 的所有权限。
GRANT ALL PRIVILEGES ON database_name.table_name TO user_name; |
3)授予用户 user_name 对 database_name.table_name 的 SELECT、INSERT、UPDATE、DELETE 权限,并允许他将该权限传递给其他用户。
GRANT SELECT,INSERT,UPDATE,DELETE ON database_name.table_name TO user_name WITH GRANT OPTION; |
2.REVOKE 语句示例:
1)撤销用户 user_name 对 database_name.table_name 表的 SELECT、INSERT、UPDATE、DELETE 权限。
REVOKE SELECT,INSERT,UPDATE,DELETE on database_name.table_name FROM user_name; |
2)撤销用户 user_name 对 database_name.table_name 的所有权限。
REVOKE ALL PRIVILEGES ON database_name.table_name FROM user_name; |
3)撤销用户 user_name 对 database_name.table_name 表的 SELECT、INSERT、UPDATE、DELETE 权限。
REVOKE SELECT,INSERT,UPDATE,DELETE ON database_name.table_name FROM user_name WITH GRANT OPTION; |
Tip:一个用户只能撤销由它自己直接赋予的权限,依赖性权限仍然存在,但如果声明了CASCADE,则所有依赖性权限都被撤销.
小结:数据库的GRANT & REVOKE命令是用于管理数据库用户权限的命令。这些命令通常用于在数据库中为用户分配权限,以便用户可以访问和操作数据库中的数据。GRANT & REVOKE是GaussDB云数据库中非常重要的一个命令,它可以用于撤销和管理数据库中的不同对象的访问权限,从而保证数据库的安全性和可靠性。
本期分享就到这里, 欢迎大家交流、学习!
GuassDB数据库的GRANT REVOKE相关推荐
- mysql 权限命令 revoke_mysql 权限管理使用 grant/revoke
mysql的grant命令,对mysql用户权限的增删改查关闭 grant 权限 on 数据库对象 to 用户 一.grant 普通数据用户,查询.插入.更新.删除 数据库中所有表数据的权利 gran ...
- mysql进阶(二十八)GRANT REVOKE用法
文章目录 一.前言 二.查看用户权限 三.撤销已赋予给 MySQL 用户的权限 四.grant.revoke 用户权限注意事项 五.用户和权限管理命令 六. grant 权限 七.拓展阅读 一.前言 ...
- mysql revoke 用法_mysql进阶(二十八)MySQL GRANT REVOKE用法
mysql进阶(二十八)MySQL GRANT REVOKE用法 MySQL的权限系统围绕着两个概念: 认证->确定用户是否允许连接数据库服务器: 授权->确定用户是否拥有足够的权限执行查 ...
- mysql revoke详解_【转】MySQL GRANT REVOKE用法
MySQL的权限系统围绕着两个概念: 认证->确定用户是否允许连接数据库服务器 授权->确定用户是否拥有足够的权限执行查询请求等. 如果认证不成功的话,哪么授权肯定是无法进行的. revo ...
- oracle revoke 列_Oracle Grant REVOKE正解
Oracle Grant / REVOKE 正解 GRANT 名称 GRANT - 赋予一个用户,一个组或所有用户访问权限 GRANT privilege [, ...] ON object [, . ...
- grant,revoke,deny 服务器权限控制命令
GRANT服务器权限命令 为主体授予安全对象的权限. 一般概念是 GRANT <某种权限> ON <某个对象> TO <某个用户.登录名或组>. 有关权限的一般讨论 ...
- 【SQL Server】grant, revoke, deny介绍及相关问题
在登录sa的状态下使用grant(授予), revoke(收回), deny(拒绝):除非后续给了其他用户这些权限 基本结构中均以select为例 最好写完语句后面加个go 记得开头写: use 你要 ...
- SQL——数据控制语言DCL(GRANT,REVOKE,COMMIT,ROLLBACK)
DCL 数据控制语言(Data Control Language,DCL)在SQL语言中,是一种可对数据访问权进行控制的指令,它可以控制特定用户账户对数据表.查看表.存储程序.用户自定义函数等数据库对 ...
- mysql revoke 列权限_MYSQL用户权限管理(Grant,Revoke)
MySQL可以为不同的用户分配严格的.复杂的权限.这些操作大多都可以用SQL指令Grant(分配权限)和Revoke(回收权限)来实现. Grant可以把指定的权限分配给特定的用户,如果这个用户不存在 ...
最新文章
- 14 Java面试之 IO 流技术
- 深度学习“见顶”不等于AI寒冬
- 产销对接行动倡议书-丰收节交易会·万祥军:贫困地区农品
- django中的项目使用mysql中的配置新建用户授予权限
- 另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)
- 文献记录(part92)--Graph regularized low-rank representation for submodule clustering
- 稀疏组套索_Python中的稀疏组套索
- 元素上下左右居中的几种方法
- java学习(25):三目运算符
- 技校计算机英语,技校计算机英语的一体化教学
- 护士资格证延续注册WEB服务调用失败_服务熔断
- 实现一个36进制的加法0-9,a-z
- github添加ToKen到本地并写入netrc实现自动登录
- css中关于居中的问题
- Jquery插件 bootstrap-datepicker 日期拾取器
- 事件驱动和状态机模式在YARN中的使用
- 八爪鱼爬虫采集天猫商品数据教程
- iOS越狱之Mac登录iPhone
- ubuntu20禁止hdmi显示器音频输出
- 神棍节前夕,沃商店迎来1岁生日
热门文章
- 周志华:南京大学LAMDA实验室将加大力度与华为合作
- 2023年重庆经济发展研究报告
- 饿了么超时20分钟_美团、饿了么,你凭什么让我多等几分钟?
- 荒野行动 android 鼠标,荒野行动pc版鼠标一直移出去怎么办 荒野行动鼠标出界分析...
- python爬虫:多线程收集/验证IP从而搭建有效IP代理池
- n个数中输出前m大的数
- echarts中横坐标值显示不全(自动隐藏)解决方案
- 【python】彼岸图网4K壁纸批量爬虫共1.48G(多线程/多进程)
- 火山引擎项亮揭秘字节跳动基于 HPC 的大规模机器学习技术|直播分享报名
- CAN片选使用(英飞凌)