訪問控制模型
可獲得性
本特性自openGauss 1.1.0版本開始引入。
特性簡介
管理使用者訪問許可權,為使用者分配完成任務所需要的最小許可權。
客戶價值
客戶依據自身需求建立對應的資料庫使用者並賦予相應的許可權給操作人員,將資料庫使用風險降到最低。
特性描述
資料庫提供了基於角色的訪問控制模型和基於三權分立的訪問控制模型。在基於角色的訪問控制模型下,資料庫使用者可分為系統管理員使用者、監控管理員使用者、運維管理員使用者、安全策略管理員使用者以及普通使用者。系統管理員建立角色或者使用者組,併為角色分配對應的許可權;監控管理員檢視dbe_perf模式下的監控檢視或函式;運維管理員使用Roach工具執行資料庫備份恢復操作;安全策略管理員建立資源標籤、脫敏策略、統一審計策略。使用者透過繫結不同的角色獲得角色所擁有的對應的操作許可權。
在基於三權分立的訪問控制模型下,資料庫使用者可分為系統管理員、安全管理員、審計管理員、監控管理員使用者、運維管理員使用者、安全策略管理員使用者以及普通使用者。安全管理員負責建立使用者,系統管理員負責為使用者賦權,審計管理員負責審計所有使用者的行為。
預設情況下,使用基於角色的訪問控制模型。客戶可透過設定GUC引數enableSeparationOfDuty為on來切換。
特性增強
無。
特性約束
-
系統管理員的具體許可權受GUC引數enableSeparationOfDuty控制。
-
三權分立開關和關閉切換時需要重啟資料庫,且無法對新模型下不合理的使用者許可權進行自主識別,需要DBA識別並修正。
依賴關係
無。