数据库系统管理与应用 课件 知识点6.4角色管理.pptx

达梦数据库角色管理数据库系统管理与应用

习标学目达梦数据库预定义角色01创建角色02删除角色03角色的启用与禁用04角色权限的分配与回收05

达梦数据库预定义角色01

01预定义角色达梦数据库预定义角色达梦数据库中，角色是一组权限的组合，能够简化数据库的权限管理，使用角色的目的是使权限管理更加方便。基于权限的角色管理在用户和权限之间增加了一道桥梁——角色。权限被赋予角色，数据库管理员通过指定特定的角色为用户授权。在达梦数据库中有两类角色，一类是达梦数据库预设定的角色，一类是用户自定义的角色。达梦数据库提供了一系列的预定义角色以帮助用户进行数据库权限的管理。预定义角色在数据库被创建之后即存在，并且已经包含了一些权限，数据库管理员可以将这些角色直接授予用户。

达梦数据库预定义角色达梦数据库预定义的角色角色名称角色简单说明角色名称角色简单说明DBADM数据库系统中最高权限集合，拥有构建数据库的全部特权，只有DBA才可以创建数据库结构DB_AUDIT_VTI具有系统动态视图的查询权限，DB_AUDIT_VTI默认授权给DB_AUDIT_ADMIN且可转授RESOURCE可以创建数据库对象，对有权限的数据库对象进行数据操纵，不可以创建数据库结构DB_AUDIT_SOI具有系统表的查询权限PUBLIC不可以创建数据库对象，只能对有权限的数据库对象进行数据操纵DB_AUDIT_SVI具有基础V视图和审计V视图的查询权限VTI具有系统动态视图的查询权限，VTI默认授权给DBA且可转授DB_POLICY_ADMIN数据库强制访问控制的最高权限集合，可以对数据库进行强制访问控制管理，并创建新的安全管理用户SOI具有系统表的查询权限DB_POLICY_OPER可以对数据库进行强制访问控制管理，但不能创建新的安全管理用户SVI具有基础V视图的查询权限DB_POLICY_PUBLIC不能进行强制访问控制管理，但可以查询强制访问控制相关字典表DB_AUDIT_ADMIN数据库审计的最高权限集合，可以对数据库进行各种审计操作，并创建新的审计用户DB_POLICY_VTI具有系统动态视图的查询权限，DB_POLICY_VTI默认授权给DB_POLICY_ADMIN且可转授DB_AUDIT_OPER可以对数据库进行审计操作，但不能创建新的审计用户DB_POLICY_SOI具有系统表的查询权限DB_AUDIT_PUBLIC不能进行审计设置，但可以查询审计相关字典表DB_POLICY_SVI具有基础V视图和安全V视图的查询权限

达梦数据库预定义角色数据类型与预定义角色对应表用户类型预定义角色DBADBA、RESOURCE、PUBLIC、VTI、SOI、SVISSODB_POLICY_ADMIN、DB_POLICY_OPER、DB_POLICY_PUBLIC、DB_POLICY_VTI、DB_POLICY_SOI、DB_POLICY_SVIAUDITORDB_ADUTI_ADMIN、DB_AUDIT_OPER、DB_AUDIT_PUBLIC、DB_AUDIT_VTI、DB_AUDIT_SOI、DB_AUDIT_SVIDBO（安全版本提供）DB_OBJECT_ADMIN、DB_OBJECT_OPER、DB_OBJECT_PUBLIC、DB_OBJECT_VTI、DB_OBJECT_SOI、DB_OBJECT_SVI（安全版本提供）初始时仅有管理员具有创建用户的权限，每种类型的管理员创建的用户缺省就拥有这种类型的PUBLIC和SOI预定义角色，如SYSAUDITOR新创建的用户缺省就具有DB_AUDIT_PUBLIC和DB_AUDIT_SOI角色。之后管理员可根据需要进一步授予新建用户其他预定义角色。管理员也可以将“CREATEUSER”权限转授给其他用户，这些用户之后就可以创建新的用户了，他们创建的新用户缺省也具有与其创建者相同类型的PUBLIC和SOI预定义角色。

创建角色02

01使用SQL语句创建角色创建角色语法格式：CREATEROLE角色名;使用说明：创建者必须具有CREATEROLE数据库权限；角色名的长度不能超过128个字符；角色名不允许和系统已存在的用户名重名；角色名不允许是达梦数据库保留字。

02DM管理工具创建角色创建角色打开DM管理工具，在窗口左侧“对象导航栏”【角色】选项上点击右键，在打开的快捷菜单中选择“新建角色（N）…”选项，在打开的“新建角色”窗口，输入角色名，选择所属角色的“授予”或“转授”权，单击“确定”按钮。如图所示。

删除角色03

01使用SQL语句删除角色删除角色语法格式如下：DROPROLE[IFEXISTS]角色名;使用说明：即使已将角色授予了其他用户，删除这个角色的操作也将成功。此时，那些之前被