Категория доступа субъекта контроля

Пользователю назначается одна из 3-х категорий доступа к объектам БД:

  1. CONNECT-категория. Предоставляет пользователю наименьшие права: доступ к БД с возможностью подавать SQL-запросы на манипулирование данными;

  2. RESOURCE-категория. Предоставляет пользователю все права Connect-категории, а также право изменять схему БД (создавать/удалять/изменять структуру объектов БД) и передавать другим пользователям права на свои объекты;

  3. DBA-категория. Предоставляет пользователю уровень администратора БД с максимальными правами, включающими права Resource-категории и право создавать новых пользователей БД.

Владельцем табличного объекта БД (таблицы/представления) считается пользователь, создавший этот объект (для его создания он должен иметь, как минимум, RESOURCE-категорию). Владелец табличного объекта получает на этот объект все возможные привилегии, вплоть до привилегии передачи (отмены) некоторых из них другим пользователям БД.

Владелец может передать на свой табличный объект следующие привилегии (или их совокупность):

  • SELECT – на чтение данных;

  • INSERT – на добавление данных;

  • UPDATE – на модификацию данных;

  • DELETE – на удаление данных;

  • ALTER – на изменение параметров таблицы;

  • INDEX – на построение/удаление индексов таблицы;

  • REFERENCES – на создание внешних ключей, ссылающихся на таблицу;

  • ALL – полный набор привилегий, т.е. SELECT + INSERT + UPDATE + DELETE + ALTER + INDEX + REFERENCES.

Удалить объект БД может только его владелец. Администратор БД может удалить объект каскадно, вместе со всей содержащей его схемой.

Для вызова хранимой процедуры необходимо иметь привилегию EXECUTE или EXECUTE AS OWNER.

Для оперативного архивирования БД целиком или её отдельных объектов средствами СУБД необходима привилегия BACKUP (по умолчанию эту привилегию имеет только создатель БД).

Назначение категории доступа субъекту контроля КСЗ НСД СУБД ЛИНТЕР может быть осуществлено следующими способами:

  1. создание субъекта контроля с неявным заданием CONNECT-категории доступа:

     

    CREATE USER < имя пользователя > IDENTIFIED BY < пароль >;

  2. создание субъекта контроля с явным заданием категории доступа:

    GRANT < категория > TO < имя пользователя > [IDENTIFIED BY < пароль >];

  3. назначение (изменение) категории доступа существующему субъекту контроля:

    GRANT < категория > TO < имя пользователя >;