《信创数据库运维管理》课件-项目十二：安全管理与权限控制

信创数据库运维管理用户的创建和管理YOURLOGO用户的创建和管理创建用户需要用CREATEUSER语句给新来的张老师创建一个用户账号创建用户的基本语句：CREATEUSERteacher_zhangIDENTIFIEDBY"Zhang@2024";“teacher_zhang”是用户名“Zhang@2024”是密码达梦数据库对密码有复杂度要求用户的创建和管理给张老师指定默认表空间为“TEACHER_DATA”：CREATEUSERteacher_zhangIDENTIFIEDBY"Zhang@2024"DEFAULTTABLESPACETEACHER_DATAQUOTA100MONTEACHER_DATA;“QUOTA100M”表示这个储物柜最多能放100M的数据“100M”“UNLIMITED”就像用户的“专属储物柜”，用来存放该用户创建的数据表空间用户的创建和管理把“teacher_zhang”改成“teacher_zhangwei”（假设张老师全名张伟）：ALTERUSERteacher_zhangRENAMETOteacher_zhangwei;

张老师忘记密码，管理员帮他重置：ALTERUSERteacher_zhangweiIDENTIFIEDBY"NewZhang@2024";

修改用户名用ALTERUSER语句用户的创建和管理用户可能暂时不需要使用数据库张老师休产假，这时候可以锁定用户账号：ALTERUSERteacher_zhangweiACCOUNTLOCK;

锁定后，该用户就登录不了数据库等张老师回来上班，再解锁：ALTERUSERteacher_zhangweiACCOUNTUNLOCK;

用户离职了教数学的李老师调去别的学校，就需要删除用户：DROPUSERteacher_li;

注意:如果该用户创建过表等对象，直接删除会失败需要加CASCADE参数注销学生证时要先交还借阅的图书：DROPUSERteacher_liCASCADE;用户的创建和管理教务系统中学生用户的创建给2024级新生王小明创建用户：CREATEUSERstu_wangxmIDENTIFIEDBY"Wang123456"DEFAULTTABLESPACESTUDENT_DATAQUOTA50MONSTUDENT_DATAPASSWORD_LIFE_TIME90;“PASSWORD_LIFE_TIME90”表示密码90天过期用户的创建和管理在于“规范”，用户名最好能体现用户身份。密码设置要严格遵循复杂度要求。在于处理用户与表空间的关系。如果不给用户指定表空间，系统会用默认的“MAIN”表空间，时间长了可能导致空间不足；而给用户分配的空间配额太小，又会影响正常使用。重点难点用户的创建和管理创建用户时密码不符合复杂度要求导致创建失败删除用户时忘记加CASCADE参数因为用户有数据对象而删不掉锁定用户后忘记记录导致后续想解锁时找不到原因易错点用户的创建和管理总结规范“精细化管理”的理念安全信创数据库运维管理权限管理YOURLOGO权限管理达梦数据库系统权限对象权限决定用户能做哪些宏观操作控制用户对具体表、视图的操作“全局通行证”“局部钥匙”权限管理CREATETABLE（创建表）系统权限CREATEVIEW（创建视图）DROPANYTABLE（删除任何表）权限管理给用户分配系统权限用GRANT语句给教务管理员分配创建表的权限：GRANTCREATETABLETOadmin_jw;

系统权限分配要特别谨慎DROPANYTABLE这类高危权限，只能给核心管理员发现权限给多了，用REVOKE收回：REVOKEDROPANYTABLEFROMadmin_jw;

权限管理对象权限比系统权限更细致，针对具体数据对象张老师查询学生表和更新语文成绩的权限：--允许查询学生信息表GRANTSELECTONstudent_infoTOteacher_zhang;--只允许更新语文成绩字段GRANTUPDATE(chinese_score)ONscoreTOteacher_zhang;“(chinese_score)”是关键例子权限管理张老师查询学生表和更新语文成绩的权限：--允许查询学生信息表GRANTSELECTONstudent_infoTOteacher_zhang;--只允许更新语文成绩字段GRANTUPDATE(chinese_score)ONscoreTOteacher_zhang;“(chinese_score)”是关键权限管理如果要允许插入新成绩，再加INSERT权限：GRANTINSERTONscoreTOteacher_zhang;收回张老师的成绩更新权：REVOKEUPDATEONscoreFROMteacher_zhang;对象权限的回收同样用REVOKE权限管理只包含学生小王成绩的视图：CREATEVIEWv_stu_xiaowangASSELECT*FROMscoreWHEREstu_id='2024001';

实用技巧：用WITHGRANTOPTION参数让被授权者能传递权限授予查询权限：GRANTSELECTONv_stu_xiaowangTOstu_xiaowang;

让教研组长把成绩查询权分给本组老师：GRANTSELECTONscoreTOleader_yuwenWITHGRANTOPTION;

组长就能执行：GRANTSELECTONscoreTOteacher_li;

注意：收回组长权限时，他分发的权限也会失效权限管理“最小够用”原则权限的叠加与冲突重点难点权限管理误将系统权限当对象权限分配回收权限时漏了级联回收修改数据前一定要确认是否影响基表忽略字段级权限控制，允许用户修改整张表而非特定字段易错点权限管理权限管理的本质是“规则意识”的体现防止越权操作破坏数据保障合法用户正常工作按制度办事、按流程操作的职业素养信创数据库运维管理角色管理YOURLOGO角色管理角色，简单说就是一组权限的集合角色就像一个权限容器，先把相关权限装进去就像学校里的“岗位说明书”省去了给每个用户单独授权的麻烦再把容器“套”给用户角色管理创建角色的语句，用CREATEROLE给教务系统创建“语文老师”角色，代码如下：CREATEROLEchinese_teacher;

给角色加权限，用GRANT语句给“语文教师”这个岗位明确职责，代码如下：

--允许查询学生信息GRANTSELECTONstudent_infoTOchinese_teacher;--允许更新语文成绩GRANTUPDATE(chinese_score)ONscoreTOchinese_teacher;--允许查看语文课程表GRANTSELECTONchinese_courseTOchinese_teacher;

“chinese_teacher”“语文老师权限套餐”角色管理比单独回收多个权限方便多了新来的李老师入职时，不用逐条授权，直接把角色给他，如下代码：GRANTchinese_teacherTOteacher_li;

收回李老师的权限，也不用逐条撤销，只要收回角色就行：REVOKEchinese_teacherFROMteacher_li;

角色管理“年级组长”角色可以包含“任课老师”角色的所有权限，再额外加“审核本年级成绩”的权限。比如：--创建年级组长角色CREATEROLEgrade_leader;--包含任课老师权限GRANTchinese_teacherTOgrade_leader;--增加审核权限GRANTUPDATE(is_approved)ONscore_summaryTOgrade_leader;角色管理创建“新生辅导员”角色，需要包含：查询新生信息、修改学生宿舍分配、登记报到情况的权限：--1.创建角色CREATEROLEfreshman_counselor;--2.分配权限GRANTSELECT,UPDATE(dormitory)ONfreshman_infoTOfreshman_counselor;