Административные средства защиты информации в БД

Введение понятия «роль» позволяет упростить управление привилегиями пользователей и структурировать этот процесс.
Обычно существует ряд стандартных ролей, которые определены сразу после установки СУБД.
В дополнение к этому, можно создавать новые роли, группируя в них произвольные полномочия.
Важно, что роли можно определять и конфигурировать без привязки к конкретным пользователям, а только исходя из заданного перечня обязанностей.

По умолчанию каждый новый пользователь обычно относится к группе PUBLIC, которой соответствует стандартный набор минимальных прав.
Традиционно система назначения полномочий имеет строгий иерархический характер.
Это означает, что самыми высокими правами и полномочиями обладает системный администратор.
Только это тип пользователей может создавать других пользователей.

Владельцу может предоставляться право передавать другим пользователям полномочия по работе со своими объектами.
Операторы языка SQL для управления полномочиями
Оператор предоставления полномочий имеет следующий синтаксис:

GRANT { 〈список_действий〉 ⎜ ALL PRIVILEGES }
ON 〈имя_объекта〉
ТО { 〈список_пользователей〉 ⎜ PUBLIC }
[ WITH GRANT OPTION ]

Ключевое слово ALL PRIVILEGES указывает, что разрешены все действия, допустимые для объектов рассматриваемого типа.
С помощью необязательного параметра WITH GRANT OPTION пользователю предоставляется право передавать другим пользователям свои полномочия по отношению к объекту (только в рамках разрешенных ему действий).

GRANT SELECT ON Tab1 TO User3;

При назначении полномочий по операции изменения данных имеется возможность уточнить, с какими столбцами разрешается работать пользователю.
Предположим, что менеджеру отдела требуется предоставить право изменения цены на товары (столбец COST в таблице Tab1).
Тогда потребуется следующая директива назначения полномочий пользователю User3:

GRANT ALL PRIVILEGES
ON Tab1 TO User4
WITH GRANT OPTION;

В этом случае пользователь User4 получает право самостоятельно назначать привилегии по работе с Tab1 для других пользователей.

GRANT SELECT, UPDATE, DELETE
ON Tab1 TO User4
WITH GRANT OPTION;

Какой результат в этом случае будет иметь предыдущая директива ????

Эти объекты создаются для конкретных пользователей и содержат только те столбцы, которые нужны им для работы.
Оператор отмены назначенных ранее полномочий имеет следующий синтаксис:

REVOKE { 〈список_действий〉 ⎜ ALL PRIVILEGES }
ON 〈имя_объекта〉
FRОM { 〈список_пользователей〉 ⎜ PUBLIC }
{ CASCADE ⎜ RESTRICT }

REVOKE ALL PRIVILEGES ON Tab1
FRОM User4 CASCADE

Тогда одновременно отменяются привилегии и пользователя User5, которому пользователь User4 успел передать свои права.