Передавання повноважень користувачам або ролям

Команда GRANT дає змогу передати повноваження користувачам або ролям. Спрощений синтаксис команди є таким:

GRANT priv_type [(column_list)] [, priv_type [(column_list)]] ... ON [object_type] priv_level TO user_specification [, user_specification] ... [REQUIRE {NONE | ssl_option [[AND] ssl_option] ...}] [WITH with_option ...]

Повну специфікацію цієї команди можна переглянути на сайті MySQL.

Специфікатор priv_type вказує, щодо яких операцій описується повноваження. Такими операціями можуть бути: SELECT, INSERT, UPDATE, DELETE та інші. Фраза ALL вказує, що повноваження передаються щодо всіх операцій. У списку об'єктів зазначаються всі об'єкти бази даних, щодо яких специфікуються повноваження. Цей список містить посилання на таблиці й віртуальні таблиці. За допомогою параметра column_list можна додатково вказати стовпці таблиць. Повноваження може бути передане користувачу, який вказується у фразі ТО. Якщо повноваження передається користувачу, він одержує право виконувати операції згідно з цим повноваженням. Коли повноваження передається ролі, вона ним поповнюється. Фраза WITH GRANT OPTION означає, що одержувач повноваження отримує також право передавати це повноваження іншому користувачу або ролі.

Розглянемо кілька прикладів надання й передавання прав доступу:

Створюємо користувача

CREATE USER 'jeffrey'@'localhost' IDENTIFIED BY 'mypass';

1. Надати створеному користувачу права на виконання будь-яких операцій над таблицями бази даних db1 і дозвіл на передавання цих прав іншим користувачам:

GRANT ALL ON db1.* TO 'jeffrey'@'localhost' WITH GRANT OPTION;

2. Надати створеному користувачу права переглядати дані з таблиці invoice бази даних db2:

GRANT SELECT ON db2.invoice TO 'jeffrey'@'localhost';

3. Надати створеному користувачу право запису у таблицю Departments але максимум в кількості 90 запитів на годину:

GRANT INSERT ON db3.Departments TO 'jeffrey'@'localhost' WITH MAX_QUERIES_PER_HOUR 90;
Обов'язкові методи захисту

Обов'язкові методи захисту, або методи обов'язкового керування доступом застосовуються до баз, в яких дані мають статичну або жорстку структуру, характерну, наприклад, для урядових або військових організацій.

Як уже наголошувалося, основна ідея полягає в тому, що кожний об'єкт даних має певний рівень секретності, а кожний користувач — певний рівень доступу. Передбачається, що ці рівні утворюють строгий ієрархічний порядок (наприклад, цілком таємно, таємно, для службового користування тощо).

Останнім часом методи обов'язкового керування доступом набули популярності в США, оскільки згідно з вимогами міністерства оборони цієї країни такий метод керування доступом має підтримуватися в будь-якій системі, що використовується в цьому відомстві. Тому розробникам і постачальникам СКБД довелося докласти чимало зусиль для розробки подібних методів керування доступом. Вимоги до такого керування подано в двох важливих публікаціях міністерства, які неформально називаються «оранжевою» та «рожевою» книгами (Orange Book та Lavender Book). В «оранжевій» книзі наведено перелік вимог до безпеки певного «надійного обчислювального середовища», а в «рожевій» книзі ці вимоги інтерпретуються стосовно систем керування базами даних.

<== попередня сторінка	\|	наступна сторінка ==>
Можливість передавання прав доступу іншим особам	\|	Ведення журналів доступу

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.005 сек.